Printable View
Ситуация следущая.
На компе перестал работать антивирус Касперсого, так же не дает переустановить его или запустить AVZ, почитав форум , нашел варианты как собрать информацию с помощью AVZ.exe
Всю информацию собрал в безопасном режиме.
Хотелось бы вылечить комп, и установить заново антивирусник, сей час машина без сети без инета стоит.
Заранее спасибо за помощь.
Логи нужны из обычного режима...
Перезаливаю новые файлы с обычного режима.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\Drivers\ati3cixx.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sys32.dll','');
QuarantineFile('netwrp.dll','');
QuarantineFile('c00F8251.mat','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\lanes.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Windows\lsass.exe','');
DeleteService('Wdj17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdj17.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('Syf28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syf28.sys','');
DeleteService('ati8gmxx');
DeleteService('ati7taxx');
DeleteService('ati3otxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8gmxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7taxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys','');
DeleteService('ati3cixx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3cixx.sys','');
QuarantineFile('C:\WINDOWS\system32\netwrp.dll','');
QuarantineFile('c:\windows\hporclnr.exe','');
TerminateProcessByName('c:\windows\hporclnr.exe');
DeleteFile('c:\windows\hporclnr.exe');
DeleteFile('C:\WINDOWS\system32\netwrp.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7taxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syf28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdj17.sys');
DeleteFile('C:\Documents and Settings\user\Application Data\Microsoft\Windows\lsass.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\lanes.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('WinNt64.dll');
DeleteFile('c00F8251.mat');
DeleteFile('netwrp.dll');
DeleteFile('sys32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Новые логи.
Карантин отправил архивом, надеюсь правильно.
Когда можно будет поставить на место Касперского ?
Ох, как мы их красиво всех разом вынесли :)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: c00F8251 - C:\WINDOWS\
O20 - Winlogon Notify: netwrp - C:\WINDOWS\
O20 - Winlogon Notify: sys32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\[/CODE]
Можете ставить Касперского, в логах чисто...
Большое спасибо ! :) Даже скажу огромное ! :)
Каспер встал, базы качает :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\netwrp.dll - [B]Trojan-Spy.Win32.Goldun.bhq[/B] (DrWEB: Trojan.PWS.GoldSpy.2555)[/LIST][/LIST]