Printable View
в компе засел вирус, который никак не отлавливается. Проверка DrWeb в DOS ничего не дает. Безопасный режим не работает. При запуске в WinXP - BSOD.
При выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" - BSOD.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\System\svchost.exe','');
DeleteService('virwulru');
QuarantineFile('C:\WINDOWS\system32\drivers\virwulru.sys','');
DeleteService('uturrppn');
QuarantineFile('C:\WINDOWS\system32\drivers\uturrppn.sys','');
DeleteService('srqssrqq');
QuarantineFile('C:\WINDOWS\system32\drivers\srqssrqq.sys','');
DeleteService('rsqprqru');
QuarantineFile('C:\WINDOWS\system32\drivers\rsqprqru.sys','');
DeleteService('qpqstwpp');
QuarantineFile('C:\WINDOWS\system32\drivers\qpqstwpp.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb38.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ptpltxtp.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ptpltxtp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvb38.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qpqstwpp.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rsqprqru.sys');
DeleteFile('C:\WINDOWS\system32\drivers\srqssrqq.sys');
DeleteFile('C:\WINDOWS\system32\drivers\uturrppn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\virwulru.sys');
DeleteFile('C:\WINDOWS\System\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportAll;
BC_DeleteSvc('Pvb38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=30459[/url]
Повторите логи.
при выполнении скрипта - BSOD
уберите из скрипта
[b]SearchRootkit(true, true);
SetAVZGuardStatus(True);[/b]
и попробуйте выполнить.
скрипт выполнил, но немного иначе. В AVZ вручную включил AVZGuard. После этого скрипт выполнился без ошибок.
Карантин:
Файл сохранён как 080919_022657_2008-09-19_48d354419c282.zip
Размер файла 123293
MD5 60a91b4be1a18ef63e43b3623e9e233f
теперь ждём новых логов.
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" выдает ошибку
[b]arm80.dll[/b] поищите при помощи АВЗ--сервис поиск файлов на диске и вышлите согласно приложения 2 правил.
поиск ничего не дал.
Поиск файлов по маске arm80.dll
Поиск файлов завершен
Просмотрено 197734, найдено 0
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ptpltxtp.sys - [B]Rootkit.Win32.Agent.efa[/B] (DrWEB: Trojan.Sentinel.based)[/LIST][/LIST]