доброго всем времени суток. обнаружен непонятный зверь на тачке просканил тремя антивирусами и никто не смог найти. (drweb,symantec,anti-spyware) наешл тока AVG, но после него не запускается не один процесс.
сделал логи AVZ.
жду помощи
Printable View
доброго всем времени суток. обнаружен непонятный зверь на тачке просканил тремя антивирусами и никто не смог найти. (drweb,symantec,anti-spyware) наешл тока AVG, но после него не запускается не один процесс.
сделал логи AVZ.
жду помощи
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\WinNt64.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Din51.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Din51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\WinNt64.dll');
BC_ImportDeletedList;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Din51');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24672[/url]).
Восстановите из дистрибутива или скопируйте со здоровой системы файл
C:\WINDOWS\System32\svchost.exe
Сделайте новые логи, начиная с п.10 правил.
карантин и новые логи.
по поводу svchost.exe поднял с дистриба но ,avg горит вирус , если делаю инговрировать то начинаю слать спам :)
вот карантин :) забыл вложить
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Результат загрузки
Файл сохранён как 080616_063940_Quarantine_485650fc973a5.zip
Размер файла 77599
MD5 9a9220f97d68d1ecce2b2316a179893d
svchost.exe не удаляйте, он не виноват. AVZ Antispyware лучше убрать, не шибко полезная программа при наличии нормального антивируса.
Скачайте Ice Sword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url], распакуйте, запустите, нажмите слева внизу File, найдите эти файлы:
C:\WINDOWS\system32\Drivers\Din51.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
на каждом правой кнопкой и выберите Force Delete.
Не перезагружаясь после этого, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Din51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Din51');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки повторите лог syscheck.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В карантине WinNt64.dll - [b]Trojan-Downloader.Win32.Mutant.agl[/b]
вроде вылечилось вот лог
Лога не видно.