-
Вложений: 4
Help плиз!
Здравствуйте!
не знаю как назвать тему, сорри.
Поймал чтото непонятно что.
AVP VirRemovalTool не обнаруживает, AVP6 не запускается вообще.
Kerio FireWall неправильно и странно работает. В первый день были обращения к дисководу. AVP6 еще работал но ничего не находил.
При попытке переустановить AVP или Kerio - синий экран.
При загрузке в безопасном режиме Windows синий экран.
HiJack не запускается.
Прикладываю все файлы которые обозначены в правилах.
Надеюсь на Вашу помощь.
В прошлый раз итогом подобного случая был раздолбаный со злости комп :furious3:
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('DumaNT');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dumant.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\copystar.sys','');
QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp','');
QuarantineFile('\systemroot\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys','');
DeleteFile('\systemroot\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys');
DeleteFile('C:\WINDOWS\TEMP\Sddrv.tmp');
DeleteFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp');
DelCLSID('5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA');
QuarantineFile('C:\WINDOWS\TEMP\tempo-4016656.tmp','');
DeleteFile('C:\WINDOWS\TEMP\tempo-4016656.tmp');
QuarantineFile(' C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys','');
QuarantineFile(' C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll','');
QuarantineFile(' C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll','');
QuarantineFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF2B4C.tmp','');
QuarantineFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF1A5A.tmp','');
DeleteFile(' C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys');
DeleteFile(' C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll');
DeleteFile(' C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll');
DeleteFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF2B4C.tmp');
DeleteFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF1A5A.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Повторить логи
3. Сделать [URL="http://virusinfo.info/showthread.php?t=40118"]еще такой лог[/URL]
-
Вложений: 5
запустил скрипт, перезагрузился.
в карантин не скопировались некоторые файлы:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys)
Карантин с использованием прямого чтения - ошибка
лог файл работы скрипта прилагаю avz_log.rar.
после перезагрузки заработала конфигурация AVP, настроил, обновил, запустил.
работает. проверил на максимуме - нашлось вот это:
29.06.2009 13:25:39 Файл C:\Documents and Settings\Andrey\Local Settings\Temp\BlueRaTech.exe, обнаружено: троянская программа 'Trojan.Win32.Tdss.aiac'.
вылечил.
29.06.2009 15:16:25 Файл C:\Documents and Settings\Andrey\Local Settings\Temp\BlueRaTech.exe удален.
больше ничего не находит.
при загрузке происходит обращение к флоппи один раз.
Kerio опять таки не работает нормально (запускаю службу - у меня инет пропадает, у терминалов появляется).
нет ни одного CD|DVD (стоят восклицательные знаки в Device managere)
то же самое на модеме и в Network adaptors -> Direct parallel
также в System devices -> WinDriver
HiJack запускается нормально.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{504B598F-3A4E-47AC-BEBD-82105E76B16A}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA236571-B606-4D95-B7F8-77E926A03F0A}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD26C8D-4999-4146-89EB-E6B07B613508}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.172,85.255.112.26
O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Superk5');
StopService('Sddrv');
QuarantineFile('C:\WINDOWS\system32\Drivers\superk5.sys','');
QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp','');
DeleteFile('C:\WINDOWS\TEMP\Sddrv.tmp');
DeleteFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\superk5.sys');
DeleteService('Sddrv');
DeleteService('Superk5');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Sddrv');
BC_DeleteSvc('Superk5');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
+ к предыдущему совету
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service dxfuddb
gmer.exe -del service MSIVXserv.sys
gmer.exe -del service ylvinw
gmer.exe -del file "C:\WINDOWS\system32\xpwho.dll"
gmer.exe -del file "C:\WINDOWS\System32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dxfuddb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ylvinw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\dxfuddb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ylvinw"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
-
Вложений: 4
сделано
все сделал.
при запуске батника gmer'a некоторых файлов не было обнаружено
[SIZE="1"]gmer.exe -del file "C:\WINDOWS\System32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll"[/SIZE]
-
CDROM восстановил с помощью MicrosoftFixit50027_CDROM.msi обращения к флоппи были - сунул дискету, чтото там писало читало, посмотрел - пусто. пока не просит.
Керио странно себя ведет иногда, но в общем то все работает.
я так понимаю все в порядке уже :)
Большое спасибо всем кто помог!!!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\temp\tempo-4016656.tmp - [B]Trojan-Downloader.Win32.FraudLoad.eve[/B][/LIST][/LIST]
Page generated in 0.01482 seconds with 10 queries