Printable View
Добрый день! У меня такая вот проблема... Nod 32 2.7 обнаружил вирусы:
C:\Temp\BNB.tmp --- Win32/Kryptik.AFJ --- C:\WINDOWS\System32\svchost.exe.
C:\WINDOWS\system32\drivers\agp440.sys --- Win32/Wigon.LZ
C:\WINDOWS\system32\dllcache\agp440.sys --- Win32/Wigon.LZ
И ещё 3 Kryptik.AFJ в папке temp.
После перезагрузки Nod снова выскочил несколько раз с вирусом Kryptik.AFJ и система перестала видеть видеокарту.
Подскажите пожалуйста что мне делать.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('magks32.dll','');
DelBHO('{7C7EFE99-C71F-48b8-8CC8-BA506CA76A33}');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\Vitaxa\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe','');
QuarantineFile('C:\WINDOWS\fd.dll','');
DeleteService('navigator');
QuarantineFile('C:\Documents and Settings\Vitaxa\Application Data\AdobeUM\278561D88B126B58\278561D88B126B58','');
DeleteService('278561D88B126B58');
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
TerminateProcessByName('c:\windows\system32\mset.exe');
QuarantineFile('c:\windows\system32\mset.exe','');
TerminateProcessByName('c:\documents and settings\vitaxa\mset.exe');
QuarantineFile('c:\documents and settings\vitaxa\mset.exe','');
DeleteFile('c:\documents and settings\vitaxa\mset.exe');
DeleteFile('c:\windows\system32\mset.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\Application Data\AdobeUM\278561D88B126B58\278561D88B126B58');
DeleteFile('C:\WINDOWS\fd.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\mset.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\Главное меню\Программы\Автозагрузка\ikowin32.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\mset.exe');
DeleteFile('magks32.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('278561D88B126B58');
BC_DeleteSvc('navigator ');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
[B]Пофиксить в HJT [/B] (строки могут отсутствовать):
[CODE]O4 - Global Startup: icwsetup.exe
O4 - Startup: ikowin32.exe
O4 - HKCU\..\Run: [mset] C:\Documents and Settings\Vitaxa\mset.exe
O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe[/CODE]
Повторите логи.
После перезагрузки выскочил мастер нового оборудования. Нод промолчал. Извините, но я не знаю как сделать вот это [QUOTE] "Пофиксить в HJT (строки могут отсутствовать):[/QUOTE]"? Файл с карантином отослал. Прикрепил новые логи.
Сделайте лог гмер по правилам [url]http://virusinfo.info/showthread.php?t=40118[/url]
сделал.
Хорошо, теперь сделайте новые логи AVZ.
НОВЫЕ логи!
Помогите пожалуйста хоть кто-то. Очень не хо сносить систему..(
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\aujasnkj.sys','');
DeleteFile('C:\Temp\aujasnkj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сохранить в директорию с gmer как 123.bat и запустить.
[CODE]
pz23bzpz.exe -del service 278561D88B126B58
pz23bzpz.exe -del reg HKLM\SYSTEM\ControlSet001\Services\278561D88B126B58
pz23bzpz.exe -del file 'C:\Documents and Settings\Vitaxa\Application Data\AdobeUM\278561D88B126B58\278561D88B126B58'
pz23bzpz.exe -reboot[/CODE]
После повторить лог Gmer.
лог Gmer у меня выполнялся около 2-х часов. Спасибо конечно всем за помощь, но по-моему проще винду переустановить..(( Всего доброго. Ушёл бить виндовс!
Востановил из карантина нода файлы agp440.sys, перезагрузился, отключил Нод, Удалил дрова видухи, установил по новой, перезагрузился и вроде бы нод пока молчит. Понимаю, что вирус скорее всего где-то притаился, но винду пока рубать не буду. Теперь вопрос- после
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('magks32.dll','');
DelBHO('{7C7EFE99-C71F-48b8-8CC8-BA506CA76A33}');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\Vitaxa\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe','');
QuarantineFile('C:\WINDOWS\fd.dll','');
DeleteService('navigator');
QuarantineFile('C:\Documents and Settings\Vitaxa\Application Data\AdobeUM\278561D88B126B58\278561D88B126B58','');
DeleteService('278561D88B126B58');
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
TerminateProcessByName('c:\windows\system32\mset.exe');
QuarantineFile('c:\windows\system32\mset.exe','');
TerminateProcessByName('c:\documents and settings\vitaxa\mset.exe');
QuarantineFile('c:\documents and settings\vitaxa\mset.exe','');
DeleteFile('c:\documents and settings\vitaxa\mset.exe');
DeleteFile('c:\windows\system32\mset.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\Application Data\AdobeUM\278561D88B126B58\278561D88B126B58');
DeleteFile('C:\WINDOWS\fd.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\mset.exe');
DeleteFile('C:\Documents and Settings\Vitaxa\Главное меню\Программы\Автозагрузка\ikowin32.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\mset.exe');
DeleteFile('magks32.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('278561D88B126B58');
BC_DeleteSvc('navigator ');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
В системе появилось неопознаное устройство. Что это может быть? И что с ним делать? Дрова никакие на него не подходят.
Оно и должно быть. Это драйвер AVZ.
Твои "форточки" практически живы. Не волнуйся, систему можно восстановить без
переустановки.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\microsoft\shortcuts\icwsetup.exe - [B]Trojan.Win32.FraudPack.rdy[/B] ( NOD32: Win32/Cecapix.NAA trojan, AVAST4: Win32:BredoPack [Cryp] )[*] c:\documents and settings\vitaxa\mset.exe - [B]Trojan.Win32.Agent.cvgj[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.FakeAV.QU, NOD32: Win32/Wigon.LX trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\documents and settings\vitaxa\главное меню\программы\автозагрузка\ikowin32.exe - [B]Backdoor.Win32.Bredolab.le[/B] ( DrWEB: Trojan.Botnetlog.11, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\program files\internet explorer\connection wizard\icwsetup.exe - [B]Trojan.Win32.FraudPack.rdy[/B] ( NOD32: Win32/Cecapix.NAA trojan, AVAST4: Win32:BredoPack [Cryp] )[*] c:\windows\system32\mset.exe - [B]Trojan.Win32.Agent.cvgj[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.FakeAV.QU, NOD32: Win32/Wigon.LX trojan, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]