Printable View
сегодня после проверки антивирусом нод32 в карантин попался win32/Olmarik.ju троянская программа и win32/Rootkit.Agent.ODG на первый антивирус сказал ошибка при очистке, а на второй очистка невозможна, у первого путь \\?\globalroot\systemroot\system32\hjgruigrktmvve.dll , а у второго путь оперативная память.
Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
StopService('ATE_PROCMON');
QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
QuarantineFile('\systemroot\system32\drivers\hjgruigybtnwne.sys','');
QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Diag69xp.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('dll.dll','');
QuarantineFile('hblogon.dll','');
QuarantineFile('mcenspc.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('\systemroot\system32\hjgruigrktmvve.dll','');
DeleteFile('\systemroot\system32\hjgruigrktmvve.dll');
DeleteFile('digeste.dll');
DeleteFile('mcenspc.dll');
DeleteFile('hblogon.dll');
DeleteFile('dll.dll');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys');
DeleteFile('\systemroot\system32\drivers\hjgruigybtnwne.sys');
DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
DeleteService('ATE_PROCMON');
DeleteService('tcpsr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ATE_PROCMON');
BC_DeleteSvc('tcpsr');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.
[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторный лог
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте C:\quarantine.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите лог к новому сообщению.
сделано
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.
[/CODE]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Сделайте повторный лог
- Включите Антвирус и Файрволл
- Закачайте C:\quarantine.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите лог к новому сообщению.
сделал
Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Код:
[CODE]gmer.exe -del service hjgruiawadelus
gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruigybtnwne.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruitbbtrfqn.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruipntdkmrp.dat"
gmer.exe -del file "C:\WINDOWS\hjgruigrktmvve.dll"
gmer.exe -del file "C:\Program Files\Movie Maker\svchost.exe"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiruemhsui.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruiawadelus"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hjgruiawadelus"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruiawadelus"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruiawadelus"
gmer.exe -reboot[/CODE]
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\Rar$EX00.937\ComVC\Smport.sys','');
DeleteFileMask('C:\Windows','hjgrui*.*',false);
DeleteFileMask('C:\Windows\system32','hjgrui*.*',false);
DeleteFileMask('C:\Windows\system32\drivers','hjgrui*.*',false);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.
[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторный логи AVPTOOL + GMER
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте C:\quarantine.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
сделал, нод32 уже ненаходит в оперативной памяти ничего, может всё?
[QUOTE=Rene-gad;443884]
Отключите Системное восстановление.[/QUOTE][COLOR="Red"][B]Восстановление системы: включено
[/B][/COLOR]
Отключите. Сделайте повторный лог AVPTOOL
сделано
У Вас файловый вирус сидит. Пролечитесь: [url]http://virusinfo.info/showthread.php?t=15927[/url]
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Закройте/выгрузите все программы кроме AVPTool и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('navigator');
TerminateProcessByName('c:\temp\rarsfx0\kne23r.exe');
TerminateProcessByName('c:\temp\rarsfx0\2932s.exe');
QuarantineFile('C:\Program Files\Movie Maker\svchost.exe','');
QuarantineFile('C:\WINDOWS\fd.dll','');
QuarantineFile('c:\temp\rarsfx0\kne23r.exe','');
QuarantineFile('c:\temp\rarsfx0\2932s.exe','');
DeleteFile('c:\temp\rarsfx0\2932s.exe');
DeleteFile('c:\temp\rarsfx0\kne23r.exe');
DeleteFile('C:\WINDOWS\fd.dll');
DeleteFileMask('c:\temp','*.*',true);
DeleteService('navigator');
DeleteFile('C:\Program Files\Movie Maker\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('navigator');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе Ручное лечение
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.
[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторный логи AVPTOOL
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте C:\quarantine.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
сделал
[QUOTE=Dmitronish;444031]сделал[/QUOTE]Карантин сделайте и закачайте, плиз
Удалите Spyware Terminator и Crawler Toolbar
Код:
[CODE]gmer.exe -del file "C:\Program Files\Movie Maker\svchost.exe"
gmer.exe -reboot[/CODE]
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 25555.bat и запустите.
После перезагрузки повторите лог AVPTool.
форум, перевернуло вверх ногами, строки нет Прислать запрошенный карантин креплю здесь
[QUOTE=Dmitronish;444045]форум, перевернуло вверх ногами, строки нет Прислать запрошенный карантин креплю здесь[/QUOTE]Он пустой. Зачем Вы переименовали файл? Please do: [url]http://virusinfo.info/showpost.php?p=444038&postcount=12[/url]
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен,креплю его здесь
Сделайте лог по п. 3 Диагностики.
ПС: Ещё раз прикрепите карантин в тему - удалю и тему и автора >:(. Не крепится значит не крепися - и баста!
вот
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: hblogon - C:\WINDOWS\
[/CODE]
Special AVZ скачайте по ссылке в подписи и дальше работайте с ним.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
сделал
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\hjgruigybtnwne.sys - [B]Trojan.Win32.TDSS.amdn[/B] ( DrWEB: BackDoor.Tdss.266, BitDefender: Trojan.CryptRedol.Gen.3 )[*] c:\windows\system32\hjgruigrktmvve.dll - [B]Trojan.Win32.Agent.ctix[/B] ( DrWEB: BackDoor.Tdss.368, BitDefender: Trojan.CryptRedol.Gen.3 )[/LIST][/LIST]