-
Вложений: 2
Помогите добить вирус
Компьютер сильно тормозил, не запускались программы. Прогнал антивирусом. Теперь загружается нормально, но:
1. Не запускался диспечер процессов - пофиксил в реестре
2. Были нарушены ассоциации exe-файлов - тоже пофиксил в реестре
3. Avz не запускалось - переименовал его. Теперь запускается. Но при попытке выполнить пункт 8 правил [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - [/B]вылетает. Пункт 10 [B]"Скрипт сбора информации для раздела "Помогите!" virusinfo.info" - [/B]проходит нормально. HijackThis тоже работает нормально. Также вылетает Total Commander - при попытке запустить его самостоятельно закрывается.
Высылаю скрипты, кроме [I][B]virusinfo_syscure.zip - [/B][/I]этот скрипт не проходит.
Подскажите, что пофиксить? Заранее благодарю.
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sockins32.dll','');
QuarantineFile('kdkio.exe','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
BC_DeleteSvc('Winua27');
BC_DeleteSvc('Winta16');
BC_DeleteSvc('Winqw16');
BC_DeleteSvc('Winkr06');
BC_DeleteSvc('Winkq16');
BC_DeleteSvc('Winjp84');
BC_DeleteSvc('Wincj41');
BC_DeleteSvc('Winci27');
BC_DeleteSvc('aic32p');
DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jpgnuk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\jpgnuk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua27.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('kdkio.exe');
DeleteFile('sockins32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил ...
повторите логи ...
-
Вложений: 2
Выслал карантин.
Пункт 2 правил выполнить не могу - при попытке загрузиться в безопасном режиме компьютер уходит в перезагрузку.
Пункт 8 правил - "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - выполнить не могу, так как при выполнении этого скрипта начали выскакивать одно за другим сообщения об ошибке:
[B]Access violation at address 00402254 in module 'qqq.exe'. Write of address 4643535D
[/B]
(qqq.exe - это переименованный AVZ)
Остальные скрипты прошли нормально, их и прикладываю.
-
Еще и симантек не работает - при запуске спустя секунды 2 самостоятельно закрывается
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('aic32p');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jpgnuk.sys');
ExecuteRepair(9);
ExecuteRepair(10);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил ... ( если не получится в безопасном сделайте в обычном)
повторите логи ...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Winlagons.po[/B] (DrWEB: Trojan.DownLoader.based)[*] c:\\windows\\helloserv.exe - [B]Email-Worm.Win32.Zhelatin.zy[/B] (DrWEB: Trojan.DownLoader.62867)[*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.qx[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\kdkio.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.cmi[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]
Page generated in 0.00849 seconds with 10 queries