Помогите, пожалуйста!))
Printable View
Помогите, пожалуйста!))
Пофиксить в HiJack
[code] F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: MyCentria Internet Mate v2.3 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AEAF082-C10C-4DB1-A66A-9CAE7CF0C226}: Nam-eServer = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB6BDFE-610C-4B80-9FFA-17A52C4F35D9}: Name-Server = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.176,85.255.112.189
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AEAF082-C10C-4DB1-A66A-9CAE7CF0C226}: NameServer = 85.255.112.176,85.255.112.189
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CS3\Services\Tcpip\..\{1AEAF082-C10C-4DB1-A66A-9CAE7CF0C226}: NameServer = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CS4\Services\Tcpip\..\{1AEAF082-C10C-4DB1-A66A-9CAE7CF0C226}: NameServer = 85.255.112.124,85.255.112.233
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.124,85.255.112.233
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Подскажите, а фиксированные процессы восстанавливать?
[QUOTE=Chapay;420006]Подскажите, а фиксированные процессы восстанавливать?[/QUOTE]Не понял вопроса?:(
Имею ввиду те пунткы которые я профиксил в Hijack. Их нужно после всего восстанавливать (Restore)?))
А то почему то перекрывается доступ в интернет...:pardon:
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis[/URL]
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: MyCentria Internet Mate v2.3 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)[/code]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
SearchRootkit(true,true);
QuarantineFile('c:\program files\teviidata\teviidata.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\hl_mull.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ajwki76p.SYS','');
ExecuteRepair(16);
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите[/URL] темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] ([url]http://virusinfo.info/upload_virus.php?tid=48342[/url]) вверху темы (Приложение 3 правил).
- Повторите лог HijackThis.
[QUOTE=Chapay;420026]А то почему то перекрывается доступ в интернет...:pardon:[/QUOTE]Узнайте у своего провайдера (посмотрите в договоре) правильные DNS-адреса. Когда пофиксите указанные мной строки, нужно будет ввести правильные адреса. И будет Вам счастье ;)
Те, что у Вас сейчас - троянские.
[QUOTE=Chapay;420025]Имею ввиду те пунткы которые я профиксил в Hijack. Их нужно после всего восстанавливать (Restore)?))[/QUOTE]Если Ваш провайдер UkrTeleGroup из Одессы - то обязательно 8).
Вот, пожалуйста, посмотрите...)) Но почему то все равно вирус в оперативной памяти сидит.
На какой файл (процесс) ругается антивирус?
Выполните скрипт в AVZ
[code]begin
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделать новые логи AVZ
Nod32 4 при проверке оперативной памяти находит Win32/Rootkit.Agent.ODG троянская программа.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxckxkatstvydxfobypowsmvhdaifafrjih.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxckxkatstvydxfobypowsmvhdaifafrjih.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи AVZ + такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
Какие все-таки живучие вирусы пошли, однако!:D
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxckxkatstvydxfobypowsmvhdaifafrjih.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcdexgejtvfqbakbcusvwmashnyjklmcyh.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gxvxcserv.sys"
gmer.exe -reboot[/code]И запустите cleanup.bat
Сделать новый лог gmer
Вроде бы ничего уже нету...
В логе чисто.
Установите Internet Explorer 8
Ie8 установленно! Огромное спасибо! Успехов вам!;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\gxvxckxkatstvydxfobypowsmvhdaifafrjih.sys - [B]Trojan.Win32.Tdss.aetr[/B] ( DrWEB: Trojan.Packed.2479, BitDefender: Gen:Rootkit.Heur.207887C6C6 )[/LIST][/LIST]