Здраствуйте !
помогите избавится от этого вируса , а может и ещё каких.
avz переименовывал в 111.pif а hijackthis в 222.pif
логи прилагаю
Printable View
Здраствуйте !
помогите избавится от этого вируса , а может и ещё каких.
avz переименовывал в 111.pif а hijackthis в 222.pif
логи прилагаю
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('digeste.dll','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('ethdegmy');
QuarantineFile('C:\WINDOWS\system32\drivers\ethdegmy.sys','');
DeleteService('ati8puxx');
DeleteService('ati8nsxx');
DeleteService('ati64si');
DeleteService('ati7vcxx');
DeleteService('ati5msxx');
DeleteService('ati3dixx');
DeleteService('ati2qwxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1glxx.sys','');
DeleteService('ati1glxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1glxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5msxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7vcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8nsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8puxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethdegmy.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('digeste.dll');
DeleteFile('crypts.dll');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('E:\autorun.wsh');
DeleteFile('F:\autorun.wsh');
DeleteFile('G:\autorun.wsh');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ....
прислал. вот логи
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O2 - BHO: klhlibP - {EA982585-D249-40C8-A368-C2BE7944ABC2} - C:\Documents and Settings\All Users\Application Data\klhlib.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('digeste.dll');
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ethdegmy');
BC_DeleteSvc('ati8puxx');
BC_DeleteSvc('ati8nsxx');
BC_DeleteSvc('ati7vcxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati5msxx');
BC_DeleteSvc('ati3dixx');
BC_DeleteSvc('ati2qwxx');
BC_DeleteSvc('ati1glxx');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Пофиксил , выполнил.
логи прилагаю
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\Documents and Settings\marshal\marshal.exe','');
QuarantineFile('C:\WINDOWS\system32\logon.exe','');
QuarantineFile('C:\WINDOWS\fxstaller.exe','');
DeleteFile('C:\WINDOWS\fxstaller.exe');
DeleteFile('C:\WINDOWS\system32\logon.exe');
DeleteFile('C:\Documents and Settings\marshal\marshal.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
логи
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
DeleteFile('fxstaller.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
ExecuteSysClean;
BC_DeleteSvc('ati64si');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Повторите п.2 и 3 раздела Диагностика.
Антивирус у вас обновляется?
да обновляется, недавно обновился.
логи:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\fxstaller.exe - [B]Email-Worm.Win32.Iksmas.gen[/B][*] c:\windows\system32\digeste.dll - [B]Packed.Win32.Krap.m[/B][*] c:\windows\system32\drivers\ethdegmy.sys - [B]Backdoor.Win32.IEbooot.atc[/B][/LIST][/LIST]