не открывается интернет файлы из автозапуска не удаляются
При проверке доктор вебом компьютер перегружается ....логи делал в безопасном режиме
Printable View
не открывается интернет файлы из автозапуска не удаляются
При проверке доктор вебом компьютер перегружается ....логи делал в безопасном режиме
Все делать в обычном режиме.
Если в обычном режиме AVZ не запускается или работает с проблемами, то скачайте pingpong.pif - переименованный спец. AVZ [url]http://rapidshare.com/files/116949749/pingpong.pif.html[/url] и используйте его.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\SYSTEM32\VIDEO.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\system32\drivers\lqzijdtugsha.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ROSWNRNW.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\system32\drivers\lqzijdtugsha.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
BC_ImportALL;
SysCleanAddFile('vmmreg32.dll');
ExecuteSysClean;
BC_DeleteSvc('uvdxgut');
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и скопированный Вами файл в архиве с паролем virus (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=29453[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Выслал файл и карантин в архивах.....скрипт обработлся....логи не делаются в обычном режиме компьютер перегружается в самом начале работы с переименованным файлом так же. выполнять логи в безопасном?
давайте в безопасном ...
логи в безопасном
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Отсутствует лог Hijackthis.
[/COLOR]
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ROSWNRNW.sys','');
DeleteService('synsend');
DeleteService('ROSWNRNW');
DeleteFile('C:\WINDOWS\system32\drivers\ROSWNRNW.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_DeleteSvc('ROSWNRNW');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.enu[/B] (DrWEB: Trojan.Proxy.3856)[*] c:\\windows\\system32\\video.sys - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan.Win32.BHO.gcs[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\video.bkp - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\vmmreg32.bkp - [B]Trojan.Win32.BHO.gcs[/B] (DrWEB: Trojan.Click.20003)[*] c:\\windows\\system32\\webmin\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.PWS.Clever.8)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.PWS.Clever.8)[*] \\video.sys - [B]Trojan-PSW.Win32.Agent.kon[/B] (DrWEB: Trojan.Click.20003)[/LIST][/LIST]