Printable View
Здраствуйте такая проблема. На компе завелась какой-то зловред. После запуска системы проходит не которое время и становяться не доступны сетевые ресурсы. Заходиш на сервер папки отабражаются а файлов нет. Не запускаються mp3 файлы(выдаеться сообшение о проблеме с audio драйвером).
Лог virusinfo_syscure.zip загрузите.
[b]Отключите службу восстановления системы[/b] (см. Приложение 1 Правил).
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\Temp\NOD2.tmp','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
QuarantineFile('tconn1.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Hkm60');
BC_DeleteSvc('ati0cfxx');
BC_DeleteSvc('ati0fhxx');
BC_DeleteSvc('ati0npxx');
BC_DeleteSvc('ati0vaxx');
BC_DeleteSvc('ati1loxx');
BC_DeleteSvc('ati1orxx');
BC_DeleteSvc('ati1twxx');
BC_DeleteSvc('ati2twxx');
BC_DeleteSvc('ati4cgxx');
BC_DeleteSvc('ati5cgxx');
BC_DeleteSvc('ati6xbxx');
BC_DeleteSvc('ati6xcxx');
BC_DeleteSvc('ati7xcxx');
BC_DeleteSvc('ati8gjxx');
BC_DeleteSvc('ati8ilxx');
BC_DeleteSvc('ati8nqxx');
BC_DeleteSvc('Gjm82');
BC_DeleteSvc('msupdate');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gjm82.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
LOG после скрипта
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
StopService('smtpdrv');
StopService('Hkm60');
StopService('Gjm82');
StopService('ati8nqxx');
StopService('ati8ilxx');
StopService('ati8gjxx');
StopService('ati7xcxx');
StopService('ati6xcxx');
StopService('ati6xbxx');
StopService('ati5cgxx');
StopService('ati4cgxx');
StopService('ati2twxx');
StopService('ati1twxx');
StopService('ati1orxx');
StopService('ati1loxx');
StopService('ati0vaxx');
StopService('ati0npxx');
StopService('ati0cfxx');
QuarantineFile('tconn1.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hkm60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gjm82.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gjm82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8nqxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8ilxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7xcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6xcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6xbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5cgxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4cgxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2twxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1twxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1orxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1loxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0vaxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0npxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0cfxx.sys','');
DeleteService('tcpsr');
DeleteService('smtpdrv');
DeleteService('Hkm60');
DeleteService('Gjm82');
DeleteService('ati8nqxx');
DeleteService('ati8ilxx');
DeleteService('ati8gjxx');
DeleteService('ati7xcxx');
DeleteService('ati6xcxx');
DeleteService('ati6xbxx');
DeleteService('ati5cgxx');
DeleteService('ati4cgxx');
DeleteService('ati2twxx');
DeleteService('ati1twxx');
DeleteService('ati1orxx');
DeleteService('ati1loxx');
DeleteService('ati0vaxx');
DeleteService('ati0npxx');
DeleteService('ati0fhxx');
DeleteService('ati0cfxx');
DeleteFile('tconn1.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hkm60.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8nqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8ilxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5cgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4cgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2twxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1twxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1orxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1loxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0vaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0npxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0cfxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Hkm60');
BC_DeleteSvc('Gjm82');
BC_DeleteSvc('ati8nqxx');
BC_DeleteSvc('ati8ilxx');
BC_DeleteSvc('ati8gjxx');
BC_DeleteSvc('ati7xcxx');
BC_DeleteSvc('ati6xcxx');
BC_DeleteSvc('ati6xbxx');
BC_DeleteSvc('ati5cgxx');
BC_DeleteSvc('ati4cgxx');
BC_DeleteSvc('ati2twxx');
BC_DeleteSvc('ati1twxx');
BC_DeleteSvc('ati1orxx');
BC_DeleteSvc('ati1loxx');
BC_DeleteSvc('ati0vaxx');
BC_DeleteSvc('ati0npxx');
BC_DeleteSvc('ati0fhxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Новые логи. Подскажите где взять файл virusinfo_syscheck.zip у меня в пакпе с логами его нет.
[QUOTE=Antaris;372909]Новые логи. Подскажите где взять файл virusinfo_syscheck.zip у меня в пакпе с логами его нет.[/QUOTE]Вы стандартный скрипт 2 выполняли?
Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите файл с помощью force delete:
[CODE]C:\WINDOWS\system32\Drivers\Gjm82.sys
[/CODE]
- Сделайте повторные логи
Новые LOG
[QUOTE=Antaris;372972]Новые LOG[/QUOTE]-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
[/CODE]
OpenOffice обновите, поставьте Сервис Пак 3 - может потребоваться повторная активация - и последующие патчи.
Сделал посмотрите
[QUOTE=Antaris;373004]Сделал посмотрите[/QUOTE]А где я Вас просил повторять логи? :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]