Помогите вылечить от BackDoor.Bulknet.240 ...
логи прилагаю
Printable View
Помогите вылечить от BackDoor.Bulknet.240 ...
логи прилагаю
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll','');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\ashevtsvc.exe');
QuarantineFile('c:\windows\system32\ashevtsvc.exe','');
DeleteFile('c:\windows\system32\ashevtsvc.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0lrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0tyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0wcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1bhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2sxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3rxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3tyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4inxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4ioxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4lrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4rwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5vcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6ioxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6wdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6yexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ioxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8hnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8taxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8xexx.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_Importall;
BC_DeleteSvc('ati8taxx');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati8hnxx');
BC_DeleteSvc('ati8hmxx');
BC_DeleteSvc('ati7kpxx');
BC_DeleteSvc('ati7ioxx');
BC_DeleteSvc('ati6yexx');
BC_DeleteSvc('ati6xexx');
BC_DeleteSvc('ati6wdxx');
BC_DeleteSvc('ati6ioxx');
BC_DeleteSvc('ati5vcxx');
BC_DeleteSvc('ati5bgxx');
BC_DeleteSvc('ati4rwxx');
BC_DeleteSvc('ati4lrxx');
BC_DeleteSvc('ati4ioxx');
BC_DeleteSvc('ati4inxx');
BC_DeleteSvc('ati3tyxx');
BC_DeleteSvc('ati3rxxx');
BC_DeleteSvc('ati3otxx');
BC_DeleteSvc('ati3dixx');
BC_DeleteSvc('ati2uaxx');
BC_DeleteSvc('ati2sxxx');
BC_DeleteSvc('ati2kqxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati2bgxx');
BC_DeleteSvc('ati1dixx');
BC_DeleteSvc('ati1bhxx');
BC_DeleteSvc('ati0wcxx');
BC_DeleteSvc('ati0tyxx');
BC_DeleteSvc('ati0lrxx');
BC_DeleteSvc('ati1qwxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=42907"]http://virusinfo.info/upload_virus.php?tid=42907[/URL]
Повторите логи по правилам.
сделал
карантин и логи прилагаю
В AVZ
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
Сделайте пункт 1 диагностики.
лог
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\jnhcgarmzh.sys','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll','');
DeleteFile('\??\C:\WINDOWS\system32\drivers\jnhcgarmzh.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000C3E.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0djxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0qvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1agxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2qwxx.sys');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll');
DeleteFile('digiwet.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati0djxx');
BC_DeleteSvc('ati0qvxx');
BC_DeleteSvc('ati1agxx');
BC_DeleteSvc('ati2qwxx');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=42907[/URL]
3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
логи
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\jnhcgarmzh.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('gmtrnluh');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscheck.[/B]
лог
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('RDSessMgrPlugPlay');
QuarantineFile('C:\WINDOWS\system32\1028z.exe','');
DeleteFile('C:\WINDOWS\system32\1028z.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\microsoft\media player\sowwrqu.dll - [B]Trojan-Ransom.Win32.Hexzone.aij[/B][*] c:\windows\system32\ashevtsvc.exe - [B]Trojan-Downloader.Win32.Agent.bpwz[/B][*] c:\windows\system32\digiwet.dll - [B]Backdoor.Win32.Zdoogu.bn[/B][*] c:\windows\system32\rs32net.exe - [B]Trojan-Downloader.Win32.Agent.bpek[/B][/LIST][/LIST]