Многим знакомое сообщение системы. Прошу помочь в лечении.
Спасибо.
Printable View
Многим знакомое сообщение системы. Прошу помочь в лечении.
Спасибо.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
QuarantineFile('C:\WINDOWS\system32\locale.exe','');
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteService('NRPSWQUP');
QuarantineFile('C:\WINDOWS\system32\drivers\NRPSWQUP.sys','');
DeleteService('VVVNZJJR');
QuarantineFile('C:\WINDOWS\system32\drivers\VVVNZJJR.sys','');
DeleteService('psyche');
QuarantineFile('C:\WINDOWS\System32\psyche.exe','');
QuarantineFile('c:\windows\winudpmgr.exe','');
TerminateProcessByName('c:\windows\winudpmgr.exe');
QuarantineFile('c:\windows\system32\update32.exe','');
TerminateProcessByName('c:\windows\system32\update32.exe');
QuarantineFile('c:\windows\system32\lphc7d3j0e99v.exe','');
TerminateProcessByName('c:\windows\system32\lphc7d3j0e99v.exe');
DeleteFile('c:\windows\system32\lphc7d3j0e99v.exe');
DeleteFile('c:\windows\system32\update32.exe');
DeleteFile('c:\windows\winudpmgr.exe');
DeleteFile('C:\WINDOWS\system32\blphc7d3j0e99v.scr');
DeleteFile('C:\WINDOWS\System32\psyche.exe');
DeleteFile('C:\WINDOWS\system32\drivers\VVVNZJJR.sys');
DeleteFile('C:\WINDOWS\system32\drivers\NRPSWQUP.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
DeleteFile('C:\WINDOWS\system32\locale.exe');
DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(11 );
ExecuteRepair( 17);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Предупреждение со стола исчезло.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{db9d7a78-a76c-4bf2-97c6-258925ee1542}');
QuarantineFile('C:\WINDOWS\poaijoam.exe','');
DeleteService('tcpsr');
SetServiceStart('tcpsr', 4);
SetServiceStart('tvjtqtto', 4);
DeleteService('ati5cjxx');
SetServiceStart('ati5cjxx', 4);
DeleteService('MSDTCseclogon');
SetServiceStart('MSDTCseclogon', 4);
StopService('MSDTCseclogon');
QuarantineFile('C:\WINDOWS\system32\wpv817.cpx','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati5cjxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\tvjtqtto.sys','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\faceback.exe');
QuarantineFile('c:\windows\faceback.exe','');
DeleteFile('c:\windows\faceback.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\drivers\tvjtqtto.sys');
DeleteFile('C:\WINDOWS\system32\wpv817.cpx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5cjxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\poaijoam.exe');
DeleteFile('winudpmgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
при запуске скрипта происходит сбой во время выполнения программы и перезагрузка системы.
давайте новые логи ...
При попытке получить логи происходит перезагрузка. Скрипт прошел нормально, прошу прощения, что ввел в заблуждение.
Пытался 4 раза, продолжу если нужно, но завтра.
если не получится первый лог , делайте два оставшихся
Если долго мучиться ......
Высылаю три.
[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\system32\Drivers\ati5cjxx.sys - force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ORFNRAGA.exe','');
DeleteService('tcpsr');
DeleteService('ati5cjxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati5cjxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\ORFNRAGA.exe');
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скрипт не идет. Сообщение: " Ошибка скрипта: " '.' expected, позиция[16:1]"
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Прошу подробнее насчет пункта " Скачать ....."
1 [url]http://virusinfo.info/showthread.php?t=17228[/url]
2 скрипт правильный копируйте аккуратно
Force deiete, при помощи IceAword, для указаного файла выполнил.
Скрипт не проходит, выдает сообщение об уже упомянутой ошибке.
Force deiete, при помощи IceSword, для указаного файла выполнил.
Скрипт не проходит, выдает сообщение об уже упомянутой ошибке.
Не может быть такой ошибки, скрипт правильный, копируйте аккуратнее....
Копировал все время одинаково, но на этот раз прошло.
пофиксите
[code]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {D88E1558-7C2D-407A-953A-C044F5607CEA} - (no file)
[/code]
В логах чисто. жалобы есть?
Пофиксил, жалоб, на первый взгляд нет.
Большое спасибо за заботу!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]53[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\faceback.exe - [B]Trojan-Downloader.Win32.Agent.ajzv[/B] (DrWEB: Trojan.DownLoad.6099)[*] c:\\windows\\system32\\drivers\\tvjtqtto.sys - [B]Rootkit.Win32.Pakes.f[/B] (DrWEB: Trojan.Sentinel.based)[*] c:\\windows\\system32\\lphc7d3j0e99v.exe - [B]Trojan-Downloader.Win32.Small.aeeo[/B] (DrWEB: Trojan.Fakealert.1321)[*] c:\\windows\\system32\\rs32net.exe - [B]Trojan.Win32.Agent.afgx[/B] (DrWEB: BackDoor.Bulknet.237)[*] c:\\windows\\system32\\update32.exe - [B]Trojan-Downloader.Win32.Small.aekp[/B] (DrWEB: Trojan.DownLoad.5237)[*] c:\\windows\\system32\\wpv817.cpx - [B]Backdoor.Win32.IRCBot.gdb[/B] (DrWEB: BackDoor.IRC.Nite.18)[*] c:\\windows\\winudpmgr.exe - [B]Backdoor.Win32.IRCBot.gdf[/B] (DrWEB: BackDoor.IRC.Sdbot.3654)[/LIST][/LIST]