Win32/Patched.BG

Printable View

19.11.2009, 18:56
Shnaps

Win32/Patched.BG

Здраствуйте! У меня возникла проблемка, Nod нашел при проверке Win32/Patched.BG в C:\WINDOWS\system32\drivers\tcpip.sys. Пишет, что очистка невозможна! Подскажите пожалуйста, что мне делать!
19.11.2009, 22:37
Alex_Goodwin

Выполните пункт 2 правил - проверьтесь CureIt
20.11.2009, 13:13
Shnaps

Проверил, ничего не нашел!
20.11.2009, 13:36
light59

Выполните это [URL="http://virusinfo.info/showthread.php?t=50169"]http://virusinfo.info/showthread.php?t=50169[/URL]
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог Gmer[/URL] и повторите логи AVZ.
И начнём :)
20.11.2009, 15:15
Shnaps

Вот все как сказали!
20.11.2009, 15:43
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: MyCentria Internet Mate v2.2 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\DOCUME~1\P4\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mcctl.sys','');
QuarantineFile('C:\WINDOWS\system32\wpv661226364683.cpx srv','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('c:\windows\system32\drivers\TDSSpqlt.sys','');
DeleteFile('c:\windows\system32\drivers\TDSSpqlt.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\WINDOWS\system32\wpv661226364683.cpx srv');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhm38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Chn38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gmr51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ins73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tye51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdi05.sys');
DeleteFile('C:\DOCUME~1\P4\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\TDSSserv.sys');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\TDSSserv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\TDSSserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\TDSSserv.sys');
BC_ImportAll;
BC_DeleteSvc('Wdi05');
BC_DeleteSvc('Wch40');
BC_DeleteSvc('Tye51');
BC_DeleteSvc('Rwc84');
BC_DeleteSvc('Oua62');
BC_DeleteSvc('Ins73');
BC_DeleteSvc('Gmr51');
BC_DeleteSvc('Chn38');
BC_DeleteSvc('Bhm38');
BC_DeleteSvc('RasManose');
BC_DeleteSvc('TDSSserv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].

Повторите логи AVZ и Gmer.
20.11.2009, 17:19
Shnaps

Карантин прислал. Но NOD ругаться не перестал.
20.11.2009, 22:33
Shnaps

Ну как там?
21.11.2009, 11:07
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
DeleteService('rk_remover');
DeleteService('MyWebSearchService');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteFileMask('C:\PROGRA~1\MYWEBS~1', '*.*', true);
DeleteDirectory('C:\PROGRA~1\MYWEBS~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.11.2009, 14:29
Shnaps

Сказано-сделано!
21.11.2009, 14:42
Bratez

Выполните скрипт в AVZ:
[code]
begin
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{539CA3DC-95E8-402f-946D-C7D5584D321A}');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
end.[/code]
Больше ничего плохого не видно.
Что с проблемами?
21.11.2009, 15:00
Shnaps

Увы но ничего не поменялось. И еще tdss_remover_latest тоже обнаруживает C:\WINDOWS\system32\drivers\tcpip.sys как мне с ним поступить?
21.11.2009, 15:45
Bratez

В безопасном режиме замените [B]C:\WINDOWS\system32\drivers\tcpip.sys [/B]чистым из дистрибутива или из здоровой системы.
21.11.2009, 16:00
Shnaps

А вы немогли бы дать мне ссылку на этот файл, или что небудь еще?
22.11.2009, 16:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]