не удаляется DrWeb

Printable View

22.07.2009, 18:06
mc-sim

Вложений: 3

не удаляется DrWeb

Доброго времени суток, уважаемые!
В общем ситуация следующая! Принес товарисч мне свой ноутбук, умирающий под натиском вирусов. Я пошел по стандартному пути - загрузился с ЛайвСД, проверил комп утилитой CuteIT, все что было заражено - удалил. Загрузился в Сэйф мод, почистил автозагрузку от пустых ссылок утилитой Autorun.
Вроде система чистая. Подключился к интернету - БСОД. Перезагружаюсь, в сэйф мод проверяю машину - AVPTool. Найдено еще 8-10 зараженных айлов. Удаляю.
Устанавливаю Антивирус DrWeb. После перезагрузки - БСОД. После еще одной перезагрузки - Модули DrWEb не стартуют. Удалить тоже нет возможности, при удалении выскакивает окно с капчей, после ввода которой ошбка - невозможно отключить модуль самозащиты. Написал в техподдержку DrWeb, но 5 день они мне не могут толком ответить. После казжого ответа - ожидание 3 дня....
Наш диалог остановился на том, что я им отправил логи (по их запросу) hijackthis, Rootkit Unhooker и GMER.
Собственно, почему и пишу сюда, чтобы удостовериться в чистоте системы. и дальнейшем руным удалением антивируса.
Заранее спасибо.
22.07.2009, 18:33
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ExecuteRepair(1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_QrSvc('czabzkqin');
QuarantineFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
22.07.2009, 21:54
mc-sim

Вложений: 1

Готово. Вот лог:
22.07.2009, 22:22
AndreyKa

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\mshnzwk.exe','');
QuarantineFile('C:\WINDOWS\system32\msvow.exe','');
QuarantineFile('\systemroot\system32\drivers\geyekrvdifwfoe.sys','');
DeleteFile('\\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll');
BC_DeleteFile('\systemroot\system32\drivers\geyekrvdifwfoe.sys');
DeleteFile('C:\WINDOWS\system32\msvow.exe');
DeleteFile('C:\WINDOWS\system32\mshnzwk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
22.07.2009, 22:46
mc-sim

Вложений: 1

готово

готово! После скрипта ожил DrWeb и корректно стала отключаться самозащита.
Пожалуйста, лог:
22.07.2009, 23:03
AndreyKa

Руткит новый, ни Касперский, ни DrWeb не знают.
Зловредов больше нет, остался только мусор в реестре.
Пишите отбой в техподдержку DrWeb и совет: пусть переправляют в таких случаях людей к нам.
22.07.2009, 23:40
mc-sim

Ок! Пасибо огромнейшее!!!

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Кстати, рядом с geyekrcbnmpxvh.dll, который скриптом, как я понял был удален, лежит еще не тронут geyekrwelathqf.dll, geyekrasnvkpu.dat и geyekrhhabotnk.dat.
Данные файлы не принесут верда?
22.07.2009, 23:49
AndreyKa

Думаю, нет.
Но все же, пришлите эти файлы так, как написано в приложении 2 Правил.
23.07.2009, 00:04
mc-sim

geyekrwelathqf.dll уже определяется DrWeb'ом как бэкор. Выслать уже не могу, ибо удален :O DrWeb'ом.
23.07.2009, 00:06
mc-sim

О! Нашелся на флешке запароленый архив. Пароль 123.
Прошу прощения, что не по правилам шлю...:>
23.07.2009, 00:11
drongo

размещение вирусов в теме запрещено,шлите как положено.
карточка жёлтая в подарок, на очереди красная :rtfm:
23.07.2009, 00:18
mc-sim

Больше не повториться....
Каким образом мне выслать согласно правил эти файлы, если они уже не в зараженной системе?
Я могу выслать их обычным архивом по ссылке Прислать запрошенный карантин?
23.07.2009, 00:24
drongo

1.распаковать архив в новую папку не запуская ничего из файлов :) антивирус отключить временно(или добавить в доверенные
), чтобы не мешал копировать.
2.с помощью авз скопировать файлы из этой папки (приложение 2 правил) Включить антивирус.
3.Прислать полученный архив по красной ссылке вверху темы
4.саму папку можно удалить.
23.07.2009, 00:40
mc-sim

Готово. Мой Нод32 пока молчит на эти файлы...
24.07.2009, 00:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\geyekrvdifwfoe.sys - [B]Rootkit.Win32.TDSS.s[/B] ( DrWEB: BackDoor.Geyekr.2, BitDefender: Trojan.Generic.2159919 )[*] \\?\globalroot\systemroot\system32\geyekrcbnmpxvh.dll - [B]Trojan.Win32.Tdss.akzw[/B] ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.2 )[*] h:\system32\geyekrcbnmpxvh.dll - [B]Trojan.Win32.Tdss.akzw[/B] ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.2 )[*] h:\system32\geyekrwelathqf.dll - [B]Trojan.Win32.Tdss.akmf[/B] ( DrWEB: BackDoor.Tdss.310, BitDefender: Trojan.CryptRedol.Gen.3 )[/LIST][/LIST]