Добрый день!
Замучил файл digest.dll. Сначала пробовали лечиться самостоятельно. Помогло на два дня. Потом все повторилось. Логи прилагаю.
Printable View
Добрый день!
Замучил файл digest.dll. Сначала пробовали лечиться самостоятельно. Помогло на два дня. Потом все повторилось. Логи прилагаю.
Установите AVZPM и повторите логи...
Повторяю
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('crypts.dll','');
DeleteService('win32x');
QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys','');
DeleteService('bmzclymkujmtd');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\000008E3.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\000008E3.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
DeleteFile('crypts.dll');
DeleteFile('msansspc.dll');
DeleteFile('C:\Documents and Settings\Elena\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи. Лог Хиджака тоже нужен.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=42488[/url]
Логи прилагаются
Не получилось с первого раза, будем немножко думать и продолжать лечение.
Буду ждать. :)
Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer[/URL]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Лог прилагается.
По словам моих коллег они поймали такой же вирус. Скорее всего он идет с сайта [url]hттp:\\www.paks.ru[/url]
С помощью гмер удалите:
[CODE]C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys[/CODE]
Затем скрипт [url]http://virusinfo.info/showpost.php?p=377488&postcount=4[/url]
Сделайте свежие логи...
логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteService('bmzclymkujmtd');
DeleteFile('C:\WINDOWS\system32\drivers\xsbjibrmtcs.sys');
DeleteFile('C:\Documents and Settings\Elena\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('bmzclymkujmtd');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 и 3 диагностики...
Логи пункта 2 и 3
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Elena\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\[/CODE]
В логах чисто...
Спасибо огромное за помощь! Все теперь прекрасно работает!:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\xsbjibrmtcs.sys - [B]Trojan.Win32.Agent.bxfm[/B][/LIST][/LIST]