Printable View
Здравствуйте. Именно так аваст реагирует на файл win/system32/winnt32.dll (Win32:Agent-YUH [Trj]). Иногда в локалке пропадает доступ в нет, то есть коннект нормальный а зайти на сайт любой нельзя. больше ничего не заметил. сеть не грузит... че делает не понятно. спасибо.
Отключите антивирус и интернет!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\Drivers\Eko72.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Yfj40');
DeleteService('Yej26');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yfj40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yej26.sys','');
DeleteService('Wch05');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
DeleteService('Vbg72');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vbg72.sys','');
DeleteService('Uaf04');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf04.sys','');
DeleteService('Pvb16');
DeleteService('Pua15');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pua15.sys','');
DeleteService('otY83');
DeleteService('Ntx84');
DeleteService('Mrw37');
QuarantineFile('C:\WINDOWS\System32\Drivers\otY83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ntx84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrw37.sys','');
DeleteService('Krw84');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krw84.sys','');
DeleteService('Hns62');
QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hns62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Fkq73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ejO84.sys','');
DeleteService('Din05');
QuarantineFile('C:\WINDOWS\System32\Drivers\Din05.sys','');
DeleteService('autorun');
QuarantineFile('c:\huadio.tmp','');
DeleteService('Eko72');
DeleteService('SwPrvClipSrv');
QuarantineFile('C:\WINDOWS\system32\1041k.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Eko72.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Eko72.sys');
DeleteFile('C:\WINDOWS\system32\1041k.exe');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\Din05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ejO84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkp04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Fkq73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flq05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flq62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hns62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krw84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrw37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ntx84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\otY83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pua15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvb16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vbg72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfj40.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Файл сохранён как 080701_030658_virus_4869e5a2bc23a.zip
Размер файла 64574
MD5 1e7b6c0c6976c04c29644a99ac453f90
карантин закачал. логи вот. только аваст ругается опять... winnt32.dll остался.
Напишите полный путь до файла,в логах его не видно:(
c:/windows/system32/WINNT32.dll
force delete сделал на нем в айссворде - вроде удалился...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Yfk27');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfk27.sys');
DeleteFile('C:\windows\system32\WINNT32.dll ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Yfk27 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Жалобы есть?
жалоб нет :D спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]94[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]