Eset каждое утро находит и давит, находит и давит, находит и.....
помогите задавить один раз и навсегда ;-)
Спасибо!
Printable View
Eset каждое утро находит и давит, находит и давит, находит и.....
помогите задавить один раз и навсегда ;-)
Спасибо!
вот логи:
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteService('vmi386');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi386.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('ati8vbxx');
DeleteService('ati8rxxx');
DeleteService('ati8pvxx');
DeleteService('ati8hmxx');
DeleteService('ati8fkxx');
DeleteService('ati8cixx');
DeleteService('ati8chxx');
DeleteService('ati7ntxx');
DeleteService('ati7jpxx');
DeleteService('ati6yfxx');
DeleteService('ati6xexx');
DeleteService('ati6uaxx');
DeleteService('ati6rwxx');
DeleteService('ati6qvxx');
DeleteService('ati6pvxx');
DeleteService('ati6msxx');
DeleteService('ati6joxx');
DeleteService('ati6hmxx');
DeleteService('ati6bgxx');
DeleteService('ati5vbxx');
DeleteService('ati5rwxx');
DeleteService('ati5puxx');
DeleteService('ati5nsxx');
DeleteService('ati5jpxx');
DeleteService('ati4wdxx');
DeleteService('ati4msxx');
DeleteService('ati4mrxx');
DeleteService('ati4hnxx');
DeleteService('ati4hmxx');
DeleteService('ati4cixx');
DeleteService('ati4bgxx');
DeleteService('ati3yexx');
DeleteService('ati3ouxx');
DeleteService('ati3otxx');
DeleteService('ati3lrxx');
DeleteService('ati3gmxx');
DeleteService('ati3fkxx');
DeleteService('ati2vbxx');
DeleteService('ati2uaxx');
DeleteService('ati2puxx');
DeleteService('ati2otxx');
DeleteService('ati2mrxx');
DeleteService('ati2kpxx');
DeleteService('ati2hmxx');
DeleteService('ati2gmxx');
DeleteService('ati2flxx');
DeleteService('ati2ekxx');
DeleteService('ati2bgxx');
DeleteService('ati1yexx');
DeleteService('ati1taxx');
DeleteService('ati1qvxx');
DeleteService('ati1kpxx');
DeleteService('ati1jpxx');
DeleteService('ati1ejxx');
DeleteService('ati1chxx');
DeleteService('ati0ubxx');
DeleteService('ati0mrxx');
DeleteService('ati0lqxx');
DeleteService('ati0kpxx');
DeleteService('ati0fkxx');
DeleteService('ati0ekxx');
DeleteService('ati0dixx');
DeleteService('ati0bgxx');
DeleteService('autorun');
QuarantineFile('C:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0bgxx.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('ati0tyxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0tyxx.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0tyxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0dixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ekxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0lqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0mrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ubxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1chxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1ejxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1qvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1taxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1yexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2ekxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2kpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2mrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2vbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3lrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ouxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3yexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4hnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4mrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4msxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4wdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5nsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5rwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5vbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6joxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6msxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6nsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6qvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6rwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6uaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ntxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8chxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8rxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8vbxx.sys');
DeleteFile('C:\huadio.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\vmi386.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
залил карантин
Файл сохранён как 090402_114504_virus_49d46d0039167.zip
Размер файла 335003
MD5 6f1ad86bf25d93c842258d0518f1ec07
Логи повторите.
логи:
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\ati8puxx.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: ctasys - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ati8puxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8puxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8puxx.sys');
DeleteService('ati8puxx');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati8puxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
[quote=Rene-gad;381578]Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[code]C:\WINDOWS\System32\Drivers\ati8puxx.sys
[/code]Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
[/quote]
Приветствую!
Не смог обнаружить такого файла, остальное сделал все.
посмотрите, пожалуйста!
С уважением,
Роман.
[quote=ramzes31rus;382236]Приветствую!
посмотрите, пожалуйста!
[/quote]
извините за надоедливость! :-)
спасибо!
С уважением,
Роман.
[QUOTE=ramzes31rus;382652]извините за надоедливость! :-)
[/QUOTE]:)
В логах ничего плохого не видно. Кроме отутствия Сервис Пак 3, последующих патчей и ИЕ 8. 8)
все поставим сегодня, спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\rs32net.exe - [B]Trojan-Downloader.Win32.Agent.bjcp[/B] ( DrWEB: BackDoor.Bulknet.320, BitDefender: Trojan.Dropper.Kobcka.Gen.1 )[*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.rff[/B] ( DrWEB: Trojan.PWS.Panda.5 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]