Здравствуйте.
В частности не запускается авз. Логи удалось изготовить только при "убитом" процессе explorer.exe
Прошу посмотреть логи.
Printable View
Здравствуйте.
В частности не запускается авз. Логи удалось изготовить только при "убитом" процессе explorer.exe
Прошу посмотреть логи.
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('c:\F\UCK\FK.exe','');
QuarantineFile('C:\C\Settings\cl.exe','');
QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
QuarantineFile('C:\SETUP\DATA\June.exe','');
QuarantineFile('C:\RECYCLED\BIN\ok.exe','');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
QuarantineFile('C:\ROOT\SYSTEM\MaY.exe','');
QuarantineFile('C:\DATA\DELETED\POWER.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\Documents and Settings\valentina\valentina.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\qpk9488.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\windows\system32\winagent.exe','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ipcmd.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\Documents and Settings\valentina\valentina.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\DATA\DELETED\POWER.exe');
DeleteFile('C:\ROOT\SYSTEM\MaY.exe');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
DeleteFile('C:\RECYCLED\BIN\ok.exe');
DeleteFile('C:\SETUP\DATA\June.exe');
DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
DeleteFile('C:\C\Settings\cl.exe');
DeleteFile('c:\F\UCK\FK.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
ExecuteRepair(9);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-14KC2A323342}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-14KC2A366632}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321}');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=52276[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
восстановление было отключено после выполнения скрипта 3
карантин: 090817_152857_virus_4a893ef9ba636.zip
новый лог:
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ipcmd.dll');
DeleteFile('C:\WINDOWS\System32\drivers\qpk9488.sys');
DeleteFile('C:\windows\system32\winagent.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('qpk9488');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Выполните это: [url]http://virusinfo.info/showthread.php?t=43700[/url].
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
сделал.
Теперь чисто. Если проблем больше нет, то осталось установить SP3 + последующие обновления и заменить антивирус на более современный.
спасибо. все сделаю. вот как бы еще руки вправить, чтоб не вляпываться в такое...
[QUOTE=17_sqrt_2;450467]вот как бы еще руки вправить, чтоб не вляпываться в такое...[/QUOTE]Прочитайте [URL="http://virusinfo.info/showthread.php?t=30339"]Как не стать завсегдатаем раздела Помогите?[/URL] ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\qpk9488.sys - [B]Backdoor.Win32.Agent.ajyu[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\svchost.exe - [B]Trojan-Dropper.Win32.Agent.bagp[/B] ( DrWEB: Trojan.Click.25482, BitDefender: Gen:Packed.FakeAV.1, NOD32: Win32/TrojanClicker.Agent.NGR trojan, AVAST4: Win32:MalOb-M [Cryp] )[*] c:\windows\system32\ipcmd.dll - [B]Trojan-Proxy.Win32.Agent.bro[/B] ( BitDefender: Gen:Trojan.Heur.PT.dmOfb4UMA0h, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.jh[/B] ( DrWEB: Trojan.DownLoad.5244, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\riodrv.exe - [B]Virus.Win32.Induc.a[/B] ( AVAST4: Win32:Induc )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aaga[/B] ( NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Spyware-gen [Trj] )[*] c:\windows\system32\winagent.exe - [B]Trojan-Downloader.Win32.Agent.cnqo[/B] ( DrWEB: Trojan.Searcher.56, BitDefender: Gen:Trojan.Heur.dq0@tW6IK!gi, AVAST4: Win32:Fraudo [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]