при замущенном 1м интернет эксплорере, отображается в процессах 3.
Было найдено пару даонлоадеров, и бекдоры. Помогите почистить
зы. присылаю так же карантин, на всякий случай
Printable View
при замущенном 1м интернет эксплорере, отображается в процессах 3.
Было найдено пару даонлоадеров, и бекдоры. Помогите почистить
зы. присылаю так же карантин, на всякий случай
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Policies\Explorer\Run: [USER-F80A8B3CB3] .vbe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\borCFileName.exe','');
QuarantineFile('C:\WINDOWS\hf34h.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS','');
QuarantineFile('C:\WINDOWS\System32\Apple\smss.exe','');
QuarantineFile('C:\WINDOWS\ravcopy.exe','');
QuarantineFile('C:\WINDOWS\system32\jfxk.exe','');
QuarantineFile('C:\WINDOWS\system32\fhucB\B001.exe','');
DeleteFile('C:\WINDOWS\system32\fhucB\B001.exe');
DeleteFile('C:\WINDOWS\system32\jfxk.exe');
DeleteFile('C:\WINDOWS\ravcopy.exe');
DeleteFile('C:\WINDOWS\System32\Apple\smss.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
DeleteFile('C:\WINDOWS\hf34h.exe');
DeleteFile('C:\WINDOWS\system32\borCFileName.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=41680[/url]).
Сделайте новые логи.
повторили :)
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,
O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
O4 - HKLM\..\RunOnce: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\3361\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\rspav.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PCIDump.sys','');
QuarantineFile('C:\WINDOWS\ravcopy.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
QuarantineFile('C:\WINDOWS\System32\Traffic\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\jwam.exe','');
QuarantineFile('C:\WINDOWS\System32\Dism\smss.exe','');
QuarantineFile('C:\WINDOWS\System32\Dism\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.dll','');
QuarantineFile('C:\Program Files\Common Files\Upline\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\fhucB\A002.exe','');
DeleteFile('C:\WINDOWS\system32\fhucB\A002.exe');
DeleteFile('C:\Program Files\Common Files\Upline\csrss.exe');
DeleteFile('C:\WINDOWS\system32\acpi64.dll');
DeleteFile('C:\WINDOWS\System32\Dism\csrss.exe');
DeleteFile('C:\WINDOWS\System32\Dism\smss.exe');
DeleteFile('C:\WINDOWS\system32\jwam.exe');
DeleteFile('C:\WINDOWS\System32\Traffic\smss.exe');
DeleteFile('C:\WINDOWS\system32\acpi64.sys');
DeleteFile('C:\WINDOWS\ravcopy.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\PCIDump.sys');
DeleteFile('C:\WINDOWS\system32\rspav.sys');
DeleteFile('C:\WINDOWS\system32\3361\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('acpi64Drv');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
:)воть
Закройте все программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system\I001.exe','');
DeleteService('ASAPIW2K');
DeleteService('UMWdf');
QuarantineFile('C:\WINDOWS\system32\rspavsvc.exe','');
DeleteService('BackGround switch');
DeleteService('Norman ZANDA');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.exe','');
QuarantineFile('c:\windows\system32\kearin.fsl','');
QuarantineFile('c:\windows\system32\aqjyit.dll','');
QuarantineFile('c:\windows\system32\tdctxte.exe','');
QuarantineFile('c:\windows\system32\sopidkc.exe','');
QuarantineFile('c:\windows\system32\jqka.exe','');
QuarantineFile('c:\windows\system32\afisicx.exe','');
DeleteFile('c:\windows\system32\jqka.exe');
DeleteFile('c:\windows\system\I001.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
[B]S.Dark[/B], что-то мы не поспеваем за вами: только одну партию прибьем как у вас новая поспевает! ;) Может быть, вам просто надо антивирус наконец поставить? Вижу, стоял у вас раньше Касперский - зачем убрали?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
И еще: карантинчики не забывайте присылать, нам же интересно поглядеть на ваших тараканов :D
да блиин -) добраться до Этого компа все не могу. Первые 2 скрипта выполнил, 3й все не могу. между этими промежутками комп не подвергался воздействиям из вне.
Антивирус убрали - не помогал (: с Вами работать приятнее и интереснее %)
:)
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\tdctxte.exe');
TerminateProcessByName('c:\windows\system32\sopidkc.exe');
TerminateProcessByName('c:\windows\system32\afisicx.exe');
StopService('UMWdf');
StopService('tdctxte');
StopService('BackGround switch');
StopService('afisicx');
StopService('acpi64');
QuarantineFile('C:\WINDOWS\system32\wdfmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\tdctxte.exe','');
QuarantineFile('c:\windows\system32\tdctxte.exe','');
QuarantineFile('c:\windows\system32\sopidkc.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('c:\windows\system32\kearin.fsl','');
QuarantineFile('C:\WINDOWS\System32\Drivers\apyzzi21.SYS','');
QuarantineFile('c:\windows\system32\afisicx.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.exe','');
QuarantineFile('C:\WINDOWS\fargus.scr','');
DeleteService('UMWdf');
DeleteService('tdctxte');
DeleteService('sopidkc');
DeleteService('BackGround switch');
DeleteService('afisicx');
DeleteService('acpi64');
DeleteFile('C:\WINDOWS\system32\wdfmgr.exe');
DeleteFile('c:\windows\system32\tdctxte.exe');
DeleteFile('C:\WINDOWS\system32\tdctxte.exe');
DeleteFile('c:\windows\system32\sopidkc.exe');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('c:\windows\system32\kearin.fsl');
DeleteFile('C:\WINDOWS\System32\Drivers\apyzzi21.SYS');
DeleteFile('c:\windows\system32\afisicx.exe');
DeleteFile('C:\WINDOWS\system32\acpi64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('UMWdf');
BC_DeleteSvc('tdctxte');
BC_DeleteSvc('sopidkc');
BC_DeleteSvc('BackGround switch');
BC_DeleteSvc('afisicx');
BC_DeleteSvc('acpi64');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
воть
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\twain_32.dll','');
QuarantineFile('c:\windows\system32\aqjyit.dll','');
DeleteFile('c:\windows\system32\aqjyit.dll');
DeleteFile('c:\windows\system32\twain_32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
:)
В логах ничего плохого.
[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.
Что с проблемами?
пока ничего не проявляеться) спс.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]