все что смог
Printable View
все что смог
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строку: [code]O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe[/code]
Программа AVZ - файл - выполнить скрипт - выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\Loi43.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethhmgsd.sys','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
BC_DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Loi43.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Loi43.sys');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] после перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=36489[/url] , как написано в прил.3 правил, и повторите логи.
при выполнении скрипта - опять вылет, перезагрузка. и вроде подозрительных процессов не видно в диспетчере задач ...
[size="1"][color="#666686"][B][I]Добавлено через 1 час 11 минут[/I][/B][/color][/size]
не лечится гад
Качайте [url=http://virusinfo.info/showthread.php?t=17109]IceSword[/url]
Ищите и скопируйте файлы
[code]C:\WINDOWS\system32\drivers\Loi43.sys
C:\WINDOWS\system32\drivers\ethhmgsd.sys
c:\windows\services.exe[/code]
Сделав копии, [url=http://virusinfo.info/showthread.php?t=17228]удалите эти файлы при помощи IceSword[/url]
Обязательно перезагрузите машину.
После перезагрузки, выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
DeleteFile('c:\windows\services.exe');
BC_DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Loi43.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Loi43.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethhmgsd.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ethhmgsd.sys');
BC_deleteSVC('ethhmgsd');
BC_deleteSVC('Loi43');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]После перезагрузки, скопированные файлы упакуйте в архив с паролем "virus" (без кавычек) и загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=36489[/url] , как написано в прил.3 правил.
И повторите логи.
собственно вылечился, файлы загрузил, пасиб!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
звиняюсь, сначала не то упаковал...
Логи повторите, на всякий случай. Не факт, что все вредное удалено.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\ethhmgsd.sys - [B]Rootkit.Win32.Pakes.gp[/B] (DrWEB: Trojan.Spambot.4215)[*] \\loi43.sys - [B]Rootkit.Win32.Agent.ok[/B] (DrWEB: Trojan.Sentinel)[*] \\services.exe - [B]Email-Worm.Win32.Joleee.bd[/B] (DrWEB: Trojan.Spambot.3531)[/LIST][/LIST]