не могу ни как побороть, после лечения все появляется снова
Printable View
не могу ни как побороть, после лечения все появляется снова
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w.exe','');
QuarantineFile('C:\WINDOWS\system\1.exe','');
QuarantineFile('c:\windows\system32\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\lrk.sys','');
QuarantineFile('C:\WINDOWS\system32\tching.exe','');
QuarantineFile('C:\WINDOWS\system32\snetcfg.exe','');
QuarantineFile('C:\WINDOWS\system32\YoUsx\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\SafeTest.exe','');
QuarantineFile('C:\WINDOWS\system32\realplay.exe','');
QuarantineFile('C:\WINDOWS\system32\wItwp\J003.exe','');
QuarantineFile('C:\WINDOWS\system32\Events.exe','');
QuarantineFile('C:\WINDOWS\system32\oOu\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\lrk.sys','');
QuarantineFile('c:\windows\system32\yzerhw.dll','');
QuarantineFile('c:\windows\system32\fyddos.dll','');
QuarantineFile('C:\WINDOWS\system32\cmms.exe','');
QuarantineFile('C:\WINDOWS\ActiveX\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\migpwd.exe');
DeleteFile('C:\WINDOWS\ActiveX\svchost.exe');
DeleteFile('C:\WINDOWS\system32\cmms.exe');
DeleteFile('c:\windows\system32\fyddos.dll');
DeleteFile('c:\windows\system32\yzerhw.dll');
DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne');
DeleteFile('C:\WINDOWS\system32\oOu\J002.exe');
DeleteFile('C:\WINDOWS\system32\Events.exe');
DeleteFile('C:\WINDOWS\system32\wItwp\J003.exe');
DeleteFile('C:\WINDOWS\system32\realplay.exe');
DeleteFile('C:\WINDOWS\system32\SafeTest.exe');
DeleteFile('C:\WINDOWS\system32\YoUsx\J002.exe');
DeleteFile('C:\WINDOWS\system32\snetcfg.exe');
DeleteFile('C:\WINDOWS\system32\tching.exe');
DeleteFile('C:\WINDOWS\system32\drivers\lrk.sys');
DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('c:\windows\system32\iexplorer.exe');
DeleteFile('C:\WINDOWS\system\1.exe');
DeleteFile('C:\WINDOWS\system32\w.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/forumdisplay.php?f=46[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
вот новые логи, карантин тоже послал
Outpost Firewall все ругается на вирус, рисунок приложен
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msrstart.exe','');
DeleteService('hnrkpm');
DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys');
DeleteFile('C:\WINDOWS\system32\msrstart.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('hnrkpm');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
вот новые логи и карантин, но все равно все просит, прикладываю
Скачайте этот AVZ [url]http://depositfiles.com/files/821x5y5lf[/url]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('hnrkpm');
DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne');
DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('hnrkpm');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
вот логи, и все время в интернет эксплоере стартовая страница все эта выскакивает, как ни удаляешь ее
Отключить Spybot. Сменить стартовую страницу и перезагрузиться, не включая Spybot.
Он может наблюдать за этим.
а как с логами
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
прога Trojan Remover класная, еще остатки все дочистила,
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
один фиг, сайт этот ставит по умолчанию
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\yzerhw.dll','');
QuarantineFile('FCI.sys','');
DeleteService('FCI');
QuarantineFile('C:\WINDOWS\system32\IqiPrFK.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\FCI.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Селать новые логи.
все равно как не вырезаешь из реестра, все равно на эту стартовую страницу делает
вот логи и эту он гадость кто-то пишет, т.к программа просит разрешения на изменения, если жмешь запретить, то можно до бесконечности нажимать
[quote=sergb;352010]прога Trojan Remover класная, еще остатки все дочистила[/quote]
"Остатков" в ваших логах до сих пор немеряно. При выполнении скриптов надо было отключать антивирус и Аутпост, а все эти спайботы вовсе удалить, больше мешают...:censored:
все отключено при выполнениии скриптов
удалил :censored: и сделал новые логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{72853161-30C5-4D22-B7F9-0BBC1D38A37E}');
DeleteService('BSServerName');
DeleteService('FCI');
DeleteFile('C:\WINDOWS\system32\IqiPrFK.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys');
DeleteFile('C:\WINDOWS\System32\FYDDOS.dll');
DeleteFile('C:\WINDOWS\System32\yzerhw.dll');
DeleteFile('C:\WINDOWS\system32\msrstart.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('BSServerName');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте поную проверку AVPTool и повторите логи...
проверил, нашел еще гадость, вот новые логи
Теперь все нормально.
Можно еще эту строчку пофиксить для порядка:
[QUOTE]O20 - Winlogon Notify: ati2paag - C:\WINDOWS\[/QUOTE]
Рекомендуется установить SP3 + последующие обновления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]104[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system\1.exe - [B]Trojan.Win32.Agent.brnh[/B][*] c:\windows\system32\cmms.exe - [B]Trojan-Dropper.Win32.Agent.ahfv[/B][*] c:\windows\system32\drivers\lrk.sys - [B]Trojan-Downloader.Win32.RtkDL.fms[/B][*] c:\windows\system32\events.exe - [B]Rootkit.Win32.Agent.hgy[/B][*] c:\windows\system32\fyddos.dll - [B]Trojan-Downloader.Win32.Small.ajfl[/B][*] c:\windows\system32\msrstart.exe - [B]Trojan.Win32.Agent.brnj[/B][*] c:\windows\system32\safetest.exe - [B]Trojan-Dropper.Win32.Agent.ahfw[/B][*] c:\windows\system32\snetcfg.exe - [B]Rootkit.Win32.Agent.hgy[/B][*] c:\windows\system32\tching.exe - [B]Trojan.Win32.Agent.brni[/B][*] c:\windows\system32\w.exe - [B]Trojan-PSW.Win32.Delf.dkb[/B][*] c:\windows\system32\yzerhw.dll - [B]Backdoor.Win32.PcClient.admy[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]