Printable View
На одном из офисных компьютеров перестал запускаться интернет браузер (пробовал устанавливать и оперы различных версий и фаерфокс), запускается только интернет эксплорер, но странички не отображаются. Помимо этого не удается войти в безопасный режим, требует пароль, хотя раньше пароль не требовался.
Заранее спасибо.
Отключите восстановление системы!
[URL="http://virusinfo.info/showthread.php?t=7239"]
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\found.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AZIJKFYN\found[1].exe','');
QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\twain_16.dll','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('c:\zfet21.exe','');
QuarantineFile('C:\WINDOWS\system32\winds32.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\fastsmell.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
DeleteService('Wqby51');
DeleteService('Winua16');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua16.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('mswd64');
DeleteService('Mrv40');
QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv40.sys','');
DeleteService('mickey32');
QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys','');
DeleteService('docker19');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('CryptSvcHidServ');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv40.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua16.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\fastsmell.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\WINDOWS\system32\winds32.exe');
DeleteFile('c:\zfet21.exe');
DeleteFile('C:\WINDOWS\twain_16.dll');
DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AZIJKFYN\found[1].exe');
DeleteFile('C:\WINDOWS\system32\found.exe.exe');
DeleteFile('C:\Documents and Settings\All Users.WINXP\Documents\GameSetup.exe');
DeleteFile('C:\System Volume Information\_restore{91D56F7C-C954-471E-93B9-3627FD3DD54F}\RP36\A0038902.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин загрузил, высылаю повторные логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wqby51');
DeleteService('Mrv40');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv40.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Wqby51');
BC_DeleteSvc('Mrv40');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Повторите логи...
После вышепреведенного лога, после перезагузки windows обнаружил неизвестное устройство, драйвера для него не были найдены
Также при запуске системы нод 32 ругается на след вещи:
хттп://update.microsofttransfer.com/update/update.upd
Вирус: win32/агент.NXK
с:\windows\temp\cldtempres.tmp
модифицированный win32/adware.virtumonde.NCB
c:\windows\system32\config\sistemprofile\localsettings\temporary internet files\content.ie5\A2IJKFYN\updateCA62TBLE.upd
модифицированный win32/adware.virtumonde.ncb
оба послених файла как от svhost.eхе
Логи прилагаются
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\clbdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи AVZ...
При завершении скрипта лечения\карантина и сбора информации вылезла ошибка "Acces violation at adress 00402254 in module avz.exe write at adress 46435359
Логи прикрепил
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\drivers\clbdriver.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
Затем скрипт из поста №6 и новые логи...
новые логи, логи лечения/карантина также собрать не удалось, выдает ошибку при выполнении исследования системы
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_16.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\twain_16.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Спасибо все заработало
Логи повторите...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.winxp\\documents\\gamesetup.exe - [B]Worm.Win32.AutoRun.vrl[/B][/LIST][/LIST]