отчеты прилагаю
отчеты прилагаю
почему то не вставился один файл
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('srv.exe');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah07.sys');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winah07');
BC_DeleteSvc('WebClientSPIDERNT');
BC_DeleteSvc('TapiSrvSENS');
BC_DeleteSvc('Spoolerdmserverdmadmin');
BC_DeleteSvc('SCardSvrxmlprovRegSrvcNetDDE');
BC_DeleteSvc('SCardSvrxmlprovRegSrvc');
BC_DeleteSvc('SCardSvrxmlprov');
BC_DeleteSvc('RSVPCFSvcsERSvc');
BC_DeleteSvc('RSVPCFSvcs');
BC_DeleteSvc('RSVPALG');
BC_DeleteSvc('RpcSsmnmsrvc');
BC_DeleteSvc('RpcLocatorDnscacheRDSessMgr');
BC_DeleteSvc('ProtectedStorageDVD-RAM_ServiceWZCSVC');
BC_DeleteSvc('ProtectedStorageDVD-RAM_Service');
BC_DeleteSvc('NetlogonRasAuto');
BC_DeleteSvc('NetDDEMSIServer');
BC_DeleteSvc('msupdateHidServ');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('mnmsrvcRemoteAccess');
BC_DeleteSvc('MDMERSvc');
BC_DeleteSvc('gusvcThemesAppMgmt');
BC_DeleteSvc('gusvcThemes');
BC_DeleteSvc('DnscacheRDSessMgr');
BC_DeleteSvc('dmserverdmadminwinmgmt');
BC_DeleteSvc('dmserverdmadmin');
BC_DeleteSvc('dmadminRDSessMgr');
BC_DeleteSvc('Dhcpmnmsrvc');
BC_DeleteSvc('CryptSvcSSDPSRV');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=36447[/URL]
3. Повторите логи.
Спасибо большое! подскажите пожалуйста, как вернуть права на запись в реестр в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - т.к. при попытке теперь установить Symantec Endpoint - не дает сделать запись. Видимо остатки вирусов?
А вы логи повторите :) Лечение ещё не закончилось
новые логи. карантин отправил
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
BC_DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportALL;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36447"]http://virusinfo.info/upload_virus.php?tid=36447[/URL]
Повторите логи по правилам.
новые логи
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvscv32.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\drivers\nvscv32.exe');
DelBHO('{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36447"]http://virusinfo.info/upload_virus.php?tid=36447[/URL]
Повторите логи по правилам.
опять новые логи и карантин
В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компутер перезагрузится.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\iexplorer.exe - [B]Trojan.Win32.Buzus.uui[/B] (DrWEB: Trojan.DownLoad.4201)[*] c:\\windows\\system32\\drivers\\nvscv32.exe - [B]Worm.Win32.Fujack.aa[/B] (DrWEB: Win32.HLLP.Whboy)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan-Downloader.Win32.Agent.awbe[/B] (DrWEB: Trojan.DownLoad.26768)[*] c:\\windows\\system32\\video.sys - [B]Trojan-PSW.Win32.Agent.ljf[/B] (DrWEB: Trojan.Firestarter)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan-Spy.Win32.Agent.fta[/B] (DrWEB: Trojan.Firestarter)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-Spy.Win32.Agent.fta[/B] (DrWEB: Trojan.Firestarter)[*] c:\\windows\\temp\\bn4.tmp - [B]Trojan-Dropper.Win32.Agent.vow[/B] (DrWEB: Trojan.Rntm.6)[/LIST][/LIST]