Помогите, пожалуйста.
Логи.
Printable View
Помогите, пожалуйста.
Логи.
Отключите восстановление системы, как написано в правилах.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Dhk15.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\clbdll.dll','');
QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
QuarantineFile('%system32%\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\system32\ISBMain.dll','');
QuarantineFile('C:\WINDOWS\system32\isb4_help.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\fileIo.dll','');
QuarantineFile('C:\WINDOWS\system32\dtpick4.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\TEMP\NT1BCF32.exe/r','');
QuarantineFile('C:\WINDOWS\TEMP\NT1BCF32.exe','');
QuarantineFile('C:\WINDOWS\system32\upc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Dhk15.sys','');
QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','');
QuarantineFile('C:\WINDOWS\system32\basepqbrq32.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Dhk15.sys');
DeleteFile('C:\WINDOWS\TEMP\NT1BCF32.exe/r');
DeleteFile('C:\WINDOWS\TEMP\NT1BCF32.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dl_');
DeleteFile('%system32%\drivers\clbdriver.sys');
DeleteFile('%system32%\clbdll.dll');
DeleteFile('c:\program files\internet explorer\setupapi.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Dhk15');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27242[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
[B]Скачайте новую версию AVZ[/B] - ссылка в правилах и обновите ее базы. У Вас старая версия.
Сделайте новые логи.
Выполнять ли действия, если я не могу отключить "Восстановлене системы" через "Мой компьютер-Свойства" (появляется эта же ошибка)?
Удалось отключить "Восстановление системы" только после скрипта. Ошибка не появляется.
Спасибо огромное!!!
Файл Dhk15.sys прислал. Там вирус?
Логи.
Да, там вирус - мы здесь хорошие файлы не удаляем. Вы прислали не все, нужно прислать все файлы из карантина согласно приложению 3 правил.
Выполните скрипт в новой версии AVZ:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\autorun.wsh','');
DelWinlogonNotifyByKeyName('WLCtrl32');
DeleteFile('C:\WINDOWS\system32\basepqbrq32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин.
В AVZ теперь 2 папки, за сегодняшнее число и за вчерашнее. Не знаю,как отослать обе, поэтому прислал только за сегодня (после выполнения скрипта). За вчера тоже отослать?
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Отослал еще и за вчера, но с другим именем, со вчерашней датой.
Повторите логи, плиз.
Dhk15.sys - Trojan-Downloader.Win32.Mutant.aim
Другой карантин чистый.
Скажите, теперь надо только очистить папку с подозрительными файлами в AVZ или только Dhk15.sys?
Логи.
Профиксить для порядка:
F2 - REG:system.ini: UserInit=userinit.exe
Выполнить скрипт:
[CODE]begin
ClearHostsfile;
end.[/CODE]
Сделать новые логи с п.10 Правил
Как все закончим, так можно будет и почистить карантин AVZ/
Новые логи.
E:\autorun.vbs - вот такое поищи. Думаю, проживает, или проживало на флешке.
Его запускают autorun c C & D
Да, точно! На флешке есть такой файл. Его просто удалить оттуда? Если я вставлю флешку в компьютер, чтобы удалить его, он не запустит опять какой-нибудь вирус?
Есть три варианта: 1- отключить Автозапуск с флешки. Это смотри в "Чаво", там есть тема на этот счет.
2 - вставить флешку с нажатым Shift. Это должно отменить Автозапуск
3 - через Мастер решения проблем отключить Автозапуск
По мне самый лучший - первый.
Все, удалил. А там опасный вирус (я эту флешку и на другом компьютре использовал, не зная что там вирус)?
Теперь очистить все в AVZ?
Жалко. В карантин его надо было засунуть. Он ведь что-то еще запускал :(
Чаще всего он ворует пароли от онлайн-игрушек, так что если играете, то их надо менять.
Могу его вытащить из корзины. :) Там было еще много приложений к нему - .exe,.bat, скрипт и т.д.
Он вам интересен, или я неправильно понял?
Да, присылайте их сюда [url]http://virusinfo.info/upload_virus.php?tid=27242[/url] в архиве с паролем virus.
Извините, наверное, не получится. Видимо, файлы удаляются с флешки, минуя "Корзину".
Особая благодарность PavelA, kps! И сайту в целом.
Спасибо большое за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\свп\\рабочий стол\\dhk15.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.DownLoader.50037)[*] c:\\windows\\system32\\basepqbrq32.dll - [B]Trojan.Win32.Agent.wrp[/B] (DrWEB: Trojan.Okuks.53)[*] c:\\windows\\system32\\drivers\\clbdriver.sys - [B]Rootkit.Win32.Clbd.b[/B] (DrWEB: Trojan.NtRootKit.1046)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bj[/B] (DrWEB: Trojan.DownLoader.54123)[*] c:\\windows\\system32\\ws2_32.dll - [B]Trojan.Win32.Patched.di[/B][/LIST][/LIST]