[B]Не могу удалить Trojan-PSW.Win32.Kates.c [/B]
[B]файл jslvb.vgm[/B]
Printable View
[B]Не могу удалить Trojan-PSW.Win32.Kates.c [/B]
[B]файл jslvb.vgm[/B]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F7D502E3-3F1E-4143-BCDA-54F77A383E1F}');
DelBHO('{F4A245AD-640B-4FA7-9343-18D511A153AE}');
DelBHO('{5243E29F-8F34-4DE5-BCE9-1FBF04B445B0}');
DelBHO('{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}');
QuarantineFile('eeekp.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\ddcDwxwW','');
QuarantineFile('C:\DOCUME~1\EN!M!~1.EN-\LOCALS~1\Temp\..\jslvb.vgm','');
DeleteService('Winye40');
DeleteService('Winye06');
DeleteService('Winxe73');
DeleteService('Winxe61');
DeleteService('Winwd62');
DeleteService('Winwc62');
DeleteService('Winta51');
DeleteService('Winta40');
DeleteService('Winta27');
DeleteService('Winsy27');
DeleteService('Winsy26');
DeleteService('Winsx63');
DeleteService('Winsx62');
DeleteService('Winsx40');
DeleteService('Winrx37');
DeleteService('Winqv62');
DeleteService('Winqv16');
DeleteService('Winpv72');
DeleteService('Winpv27');
DeleteService('Winpu84');
DeleteService('Winpu62');
DeleteService('Winpu40');
DeleteService('Winot38');
DeleteService('Winot15');
DeleteService('Winns52');
DeleteService('Winms38');
DeleteService('Winmr62');
DeleteService('Winmr05');
DeleteService('Winlr27');
DeleteService('Winlr05');
DeleteService('Winlq62');
DeleteService('Winlq15');
DeleteService('Winkq73');
DeleteService('Winkq04');
DeleteService('Winkp62');
DeleteService('Winkp27');
DeleteService('Winjo83');
DeleteService('Winhn83');
DeleteService('Winhn05');
DeleteService('Wingm48');
DeleteService('Wingm38');
DeleteService('Wingm16');
DeleteService('Wingl30');
DeleteService('Winfl74');
DeleteService('Winfl72');
DeleteService('Winfl27');
DeleteService('Winfk05');
DeleteService('Winek83');
DeleteService('Winej83');
DeleteService('Winej51');
DeleteService('Windi51');
DeleteService('Windi26');
DeleteService('Winbg84');
DeleteService('Winbg37');
DeleteService('Winai51');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf51.sys','');
DeleteService('Winaf51');
DeleteService('OMSCAN');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winai51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windi51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye40.sys');
DeleteFile('C:\DOCUME~1\EN!M!~1.EN-\LOCALS~1\Temp\..\jslvb.vgm');
DeleteFile('C:\WINDOWS\System32\ddcDwxwW');
DeleteFile('WinCtrl32.dll');
DeleteFile('eeekp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ....
срочно устанавливайте сп3 + все последующие обновления ...
Спасибо, большое. Лечение помогло. Архив с вирусом я отправил раньше название
jslvb.zip
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Помощь сайту оказал :)
[QUOTE]повторите логи ....[/QUOTE]
...
Логи после выполнения вашего скрипта и вторичного сканирования:
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb37.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_DeleteSvc('Winot38');
BC_DeleteSvc('Winua85');
BC_DeleteSvc('Winvb37');
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]O20 - Winlogon Notify: eeekp - C:\WINDOWS\
O20 - Winlogon Notify: qoMdCtRi - qoMdCtRi.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/QUOTE]4. Повторите логи.
1. Скрипт выполнил.
2. Пофиксил.
3. Логи повторил
4. Результаты:
[QUOTE=Иркутск2009;405948]2. Пофиксил.[/QUOTE]
Что-то не видно. Еще раз внимательнее. Лог hijackthis повторите.
Вроде сделал. Эти строки отсутствуют:
O20 - Winlogon Notify: eeekp - C:\WINDOWS\
O20 - Winlogon Notify: qoMdCtRi - qoMdCtRi.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Ничего зловредного в логах нет.
[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]
Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Файл через форму не загружается :(
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \jslvb.vgm - [B]Trojan-PSW.Win32.Kates.c[/B] ( DrWEB: Trojan.DownLoad.37246 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]