Printable View
Помогите! Уже не знаю куда деваться от этих вирусов:
Olmarik висит в Оперативной памяти (Nod32 не может удалить)
Не могу зайти в Безопасный режим f8 не помогает.
При загрузке в обычном режиме выскакивает синий экран с надпись"Для подтверждения лицензионной ОС Windows отправьте смс на номер ...."
ctfmon.exe касперский нашел и удалил, но он остался прописанным в реестре. Что либо сделать могу только при выборочном автозапуске, без загрузки почти всех программ.
Выполните скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ff_vfw.dll','');
QuarantineFile('C:\WINDOWS\system32\dwmapi.dll','');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.
+ к совету [B]Maxim[/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
QuarantineFile('C:\WINDOWS\system32\alil.dll','');
DeleteFile('C:\WINDOWS\system32\alil.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(16);
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Вот новые логи и выслала новый карантин, правда не знаю что изменилось, тк НОД пишет, что Олмарик сидит в памяти.
И после последнего скрипта комп не перезагрузился (с рабочего стола все исчезло, а перезгрузила ресетом)
А еще ситема просит скачать обновления Виндоуз ;)
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
вот и лог
сохраните содержимое в блокноте как 1.bat в папке со gmer ... запустите
[code]
c6xq9diw.exe -del service rotscxamrxfyxu
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxiesmnsfo.dll"
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxlwmivkpj.dat"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxuapmfsfm.dll"
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxltwtaoyr.dat"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxadjdtakg.dll"
c6xq9diw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxamrxfyxu"
c6xq9diw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxamrxfyxu"
c6xq9diw -reboot
[/code]
повторите логи
Gmer пишет:
An error 0x00000002 occured during the deketion of file: "C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys" :Не удается найти указанный файл.
Логи делать? Или что-то не так пошло? :?
Делайте.
Получается? А то пока не вижу разницу. Я еще в обычном режим не загружала. )) Вот и новые логи:
В логах больше ничего плохого не видно.
Лог gmer тоже можно повторить на всякий случай.
Что с проблемой?
Windows нашла какое-то новое оборудование и пытается найти к нему драйвера, раньше такого не было. ???
;)Я еще не загружала в обычном режиме, т.к. смущают процессы в автозапуске:
элемент загрузки команда
ALCMTR ALCMTR.exe
cftu C:\WINDOWS\system32\cftu.exe
ctfmon C:\WINDOWS\ctfmon.exe
RTHDCPL RTHDCPL.exe
setup F:\setup.exe (F-это CD привод)
is-NMC4K C:\PROGRA~1\VIRUSR~1\is-NMC4K\startup.exe "C:\Program Files\VirusRemovalTool\is-NMC4K \is-NMC4K .exe" -gui -bl
QuickTV C:\PROGRA~1\AverTV\QuickTV.exe
У всех расположение SOFTWARE\Microsoft\Windows\Current Version\run
кроме последних двух, у них startup
И менее подозрительные (относящиеся к акробaту и файнридеру и др.)
Reader_sl
AbbyyNewsReader
NMIndexStoreSvr
NeroCheck
PDVDServ
hpg2wnd
А вот лог
Ааа, чуть не забыла, проверила Нодом он успешно удалил Олмарик из карантина AVZ и еще 40 зараженных файлов из C:\WINDOSW\Temp
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 19 минут[/I][/B][/color][/size]
Посмотрите, все ли нормально? :D
[QUOTE]ALCMTR ALCMTR.exe
RTHDCPL RTHDCPL.exe[/QUOTE]Относится к звуку
[B]ctfmon C:\WINDOWS\ctfmon.exe[/B] - системный процесс
[QUOTE]is-NMC4K C:\PROGRA~1\VIRUSR~1\is-NMC4K\startup.exe "C:\Program Files\VirusRemovalTool\is-NMC4K \is-NMC4K .exe" -gui -bl [/QUOTE]Это от AVP Tool
[B]QuickTV C:\PROGRA~1\AverTV\QuickTV.exe[/B] - это от ТВ-тюнера
[B]setup F:\setup.exe (F-это CD привод)[/B] - Вам виднее, что у Вас запускалось с CD
C:\WINDOWS\system32\cftu.exe - если найдется на диске, запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
AVZ не находит как файл, но он прописан в реестре так:
Модуль для поиска данных в реестре, Зайцев О.В., 2004., [url]http://z-oleg.com/secur[/url]
Запущен поиск ключей, содержащих образец "cftu"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\ =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\item = cftu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\command = C:\WINDOWS\system32\cftu.exe
-- Поиск в HKEY_CURRENT_USER --
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск в HKEY_USERS --
-- Поиск завершен --
Просмотрено ключей: 405740
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
а еще в том же разделе в реестре прописана папка zzzHPSetup, где команда: F:setup.exe??? Это нормально?
Спасибо огромное, теперь появился доступ в безопасный режим :D.
На диске С скрытые файлы: khs, kht, khu (насколько понимаю остатки от вируса csrcs.exe, который чистился через реестр)
Проверила с помощью VRTools удалил из карантина AVZ вирусы и нашел новые из серии rotscx* , а так же множество файлов упакованные PE_Patch. Прикрепляю лог из касперского.
Вот нашла устройство, которое постоянно хочет обновиться
Код экземпляра устройства ROOT\LEGACY_UZEZNZA5\0000:P
И что с ним делать:O?
Что-то антивирус прибил в карантине AVZ, что-то из неактивных остатков.
Устройство - драйвер AVZ
Удалите его в списке устройств.
Выполнить скрипт
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
После перезагрузки устройство не появилось?
[QUOTE='Keni;473950']На диске С скрытые файлы: khs, kht, khu[/QUOTE]
Да, это должно быть прихвостни csrcs.exe
А как их убить (khs, kht, khu ) и что могло остаться еще от этого вируса csrcs?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Комп перезагрузился, а устройство опять пытается установиться. Причем при наведении на всплывающее окно-подсказку оно быстро сворачивается, как будто ничего не было.ХМ :?