заражен процесс. каспер не лечит, может только пропустить ((
при запуске первого скрипта в АВЗ при выключенном инете 5 раз вылитал так и не дойдя до конца(( поэтому сделал при включенном инете
Printable View
заражен процесс. каспер не лечит, может только пропустить ((
при запуске первого скрипта в АВЗ при выключенном инете 5 раз вылитал так и не дойдя до конца(( поэтому сделал при включенном инете
1. Скачайте [url=http://ifolder.ru/6210513]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы [QUOTE]C:\WINDOWS\System32\drivers\ati7ntxx.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\ati3jpxx.sys
C:\WINDOWS\System32\rs32net.exe.[/QUOTE]
Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением измените расширение на ddd.
Затем.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportAll;
BC_DeleteSvc('ati5nuxx');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati3jpxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=33018[/url]
Скопированные при помощи IceSword файлы запакуйте в архив под пароль virus и вышлите по той же ссылке.
Повторите логи.
C:\WINDOWS\System32\drivers\ati7ntxx.sys - сделал
C:\WINDOWS\System32\drivers\tcpsr.sys - не было файла
C:\WINDOWS\System32\Drivers\ati3jpxx.sys - не было файла
C:\WINDOWS\System32\rs32net.exe. - сделал
при создании архива каспер убил ati7ntxx.ddd так что в архиве copyed только rs32net.ddd ... :(
скрипт лечени/карантина больше так не разу до конца и не дошел. вылетает. лога нет ((
Правила читайте, как присылать карантин...
ой блин... простите, я вроде второй раз карантин по запарке послал во вложении... просто все что в папке а отправку было отправил. впредь буду внимателен. извените
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati7ntxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ntxx.sys');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati7ntxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
скрипт лечени/карантина снова отвалился на 67% при "попытке доступа к адрессу в памяти... такой-то"
логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин, вы антивирус выгружаете на время проверки?
выгружаю. стоит каспер. сам антивир выгружается, а агент администрирования не выгружается (klnagent.exe).
сейчас будет карантин
логи делать?
карантин загрузил
скрипт лечени/карантина снова отвалился на 66%
вот логи.
Файл чистый, жалобы есть?
да вроде бы нет...
Пока ждал ответа запустил ДрВеба быструю проверку, он нашел
c:\programm files\internet explorer\
c:\programm files\opera\
какую-то дрянь троян.даунлоадер (файл что-то типа *set*.dll не помню) название не запомнил
ДрВеб их куда-то "переместил", я почистил корзину и темпы.
стал проверять каспером эти места, система вырубилась через синий экран...
после перезагрузки пока все тихо.
смущает только карантин АВЗ - там
c:\windows\system32\drivers\yaprdr.sys
я его на всякий АйсСвордом покоцал. Нечего страшного или зря я?
Спасибо за помощь!
пысы: нашел что есть C:\WINDOWS\system32\drivers\yaprdr.sys - часть KidsControl, давно удален, так что пусть покоится с миром
Еще раз спасибо!
два дня вроде все тихо было... и снова здорова.
появился
C:\WINDOWS\System32\rs32net.exe - правда, каспер его замочил
и
C:\WINDOWS\System32\drivers\ati*xx.sys
* - разные цифры, появлялся несколько раз. каспер их каждый раз мочит.
зараза проявляется при загрузке
может чего не дочистил?
вот логи.
значит за эти 2 дня не успели выполнить [url]http://virusinfo.info/showthread.php?t=30339[/url] , и опять заразились :)
yaprdr.sys- тоже удалим, раз не нужен.
в логах ваш друг есть,отключить каспера и выполнить скрипт @ авз
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\w.ax','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\wb.vx','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0001\url.ax','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteService('yaprdr');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\yaprdr.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('yaprdr');
BC_DeleteSvc('tcpsr.sys');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
end.[/code]
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
сделал. ребутнулся. каспер вроде пока ничего не видит.
карантин больно большой получается... точно это все вирусы (см. картинку во вложении)? отправить могу. ~24mb слать?
загрузил карантин
вот логи
пока ждал ответа просканил каспером
c:\documents and settings\admin\local settings\temporary internet files\content.ie5\fellpm42\kb908380[1].exe - троян даунлоадер - завалил
вычистил темпы с помощью CCleaner
что с логами? жить буду?
В логах чисто, выполните полную проверку CureIT...