После лечения компа всеми антивирусами.AVAST HE начинает кричать,что активируется скрытый,вредоносный процесс.После лечения,вирусы опять появляются.
AVZ вредоносные файлы поместил в карантин.Могу выслать этот карантин,для анализа.
Printable View
После лечения компа всеми антивирусами.AVAST HE начинает кричать,что активируется скрытый,вредоносный процесс.После лечения,вирусы опять появляются.
AVZ вредоносные файлы поместил в карантин.Могу выслать этот карантин,для анализа.
Это тот же РС или другой?
Полную проверку AVPTool делали? Просто уж больно много всего, да хвостов от малваре хватает.
Скачать IceSword. В нем удалить:
C:\WINDOWS\System32\Drivers\Jqx62.sys
C:\WINDOWS\System32\Drivers\Xfl63.sys
Выполнить
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents.exe','');
QuarantineFile('crypt32.dll','');
QuarantineFile('kdkhf.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\pjpglm.sys','');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Google Online Services');
DeleteService('Jqx62');
SetServiceStart('Jqx62', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Xfl63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx62.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqx62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xfl63.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('kdkhf.exe');
DeleteFile('crypt32.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин.
PC другой!
Тестировал CureIT Dr.web и AVP Tools,все,что найдено,было удалено!
Кроме,этого скрытого процесса,он остался,почему-то в карантине AVZ.
Карантин выслал.
Файл сохранён как080722_084744_virus_4885e5005b693.zipРазмер файла129837MD5b17fe9650030a096bd0e5e62e844d0d6
Логи,чуть позже сделаю.
Линк на ICeSword не рабочий!
[url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
Тот линк у меня срабатывает запросто. :)
Держи другой:
[url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
Ничего не понимаю.Первый линк заработал,но WinRar пишет,что архив поврежден или имеет неизвестный формат.
А второй линк вообще виснет,внутренная ошибка сервера 500.
Третий достал из заначки:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Все сделал!
Новые логи...
updatedd.pif - это IceSword?
Поищи в AVZ Documents.exe,nax.exe. Если найдутся, то прислать. По Вашему карантину ответа пока нет.
[quote=PavelA;258491]updatedd.pif - это IceSword?
Поищи в AVZ Documents.exe,nax.exe. Если найдутся, то прислать. По Вашему карантину ответа пока нет.[/quote]
updatedd.pif - появлялся на рабочем столе сам по себе,явный признак действия вирусов.
IceSword был запущен,как 1.ехе,так и висел в процессах.
В карантине и infected -файлов documents,nax.exe - нет.
Есть смысл прислать архив папки infected?
Конечно есть, м.б. там что-то интересное завалялось.
Что-то мусора много осталось, будем скриптом удалять, жди.
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
вот что получилось:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('dpti930');
BC_DeleteSvc('VSS');
BC_DeleteSvc('srservice');
QuarantineFile('C:\Documents and Settings\lebedev.AUTON\nax.exe','');
QuarantineFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif','');
BC_DeleteSvc('PolicyAgent');
BC_DeleteSvc('NVSvc');
BC_DeleteSvc('Nla');
BC_DeleteSvc('COMSysApp');
BC_DeleteSvc('ClipSrv');
BC_DeleteSvc('CiSvc');
BC_DeleteSvc('Browser');
DeleteFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif');
DeleteFile('C:\Documents and Settings\lebedev.AUTON\nax.exe');
DeleteFile('C:\WINDOWS\System32\drivers\pjpglm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После него новые логи надо сделать.
Infected закачал.Новые логи выложил!
Файл сохранён как 080723_061810_virus_48871372b5d32.zip
Размер файла 129837
MD5 b17fe9650030a096bd0e5e62e844d0d6
Через Мастер поиска и устранения проблем разберитесь вот с этим:
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
В логах я ничего плохого не увидел. Единственное один файлик проверю есть он в карантине или нет.
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
C:\WINDOWS\glok+2738-24a.sys - Trojan.Peacomm.D по Симантеку. Вот это надо еще удалять.
В логах я его нигде не увидел. :(
Карантины ты загрузил какие-то не те. :( Нам нужны после скриптов из моих сообщений.
Новые логи..
C:\WINDOWS\glok+2738-24a.sys AVZ перенес в папку infected. А Cure It удалил его. В карантин,больше ничего не попадало,после последних скриптов!
ЛК ответило про него: файл чистый.
'C:\WINDOWS\System32\Drivers\Jqx62.sys' - вот этот поищи через AVZ. Его в карантине не видно, может его тоже Куреит съел.
Почему-то из логов он удаляться не хочет.
А ЛК - это что?
Jqx62.sys - нет на диске,нет ссылки в реестре.
ЛК - Лаборатория Касперского.
Значит, попробуем это дело извести
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Jqx62');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повтори логи с п.10 Правил.
З.Ы. есть 6000 сообщений ;)
Вроде избавились от последнего зверя! :)
Да, мы вместе с тобой победили.
Совет будет такой: поставить обновления системы, удалить карантин AVZ/AVPTool.
Да, и вообще AVPTool деинсталлировать.