Kaspersky жалуется на Realtek Azalia Audio - Event Monitor.
Также был msdrv32.exe в windows в безопасном режиме удалил его.
Printable View
Kaspersky жалуется на Realtek Azalia Audio - Event Monitor.
Также был msdrv32.exe в windows в безопасном режиме удалил его.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('c:\soft\progs.exe','');
QuarantineFile('C:\WINDOWS\system32\dn.exe','');
QuarantineFile('C:\WINDOWS\msdrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nnkey.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\bmbemu.SYS','');
QuarantineFile('C:\WINDOWS\system32\cpwmon2k.dll','');
QuarantineFile('C:\ARC\wzshlext.dll','');
QuarantineFile('c:\windows\dn.exe','');
DeleteFile('C:\WINDOWS\msdrv32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [URL]http://virusinfo.info/upload_virus.php?tid=60726[/URL]
3. Повторите логи.
quarantine.zip загрузил, но вроде вирусы все еще есть.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('nnkey');
DeleteService('bmbemu');
TerminateProcessByName('c:\windows\dn.exe');
DeleteFile('c:\windows\dn.exe');
DeleteFile('C:\WINDOWS\System32\drivers\bmbemu.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\nnkey.sys');
DeleteFile('C:\WINDOWS\system32\dn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Сейчас все стало еще хуже, не могу открывать страничке в браузере,
Вернее так, вначале после выполнения последнего предложенного вами скрипта в avz и перезагрузки, вирусы себя ни как не проявляли.
Потом начал собирать логи, для сбора одного из них надо включить интернет при выключенном антивирусе, при включении интернета система сразу стала подвисать и перестали открываться странички.
Касперским проверку делаю и после странички можно открывать, но сам вирус полностью не удаляется.
Потому что после перезагрузки он все равно отображается диспетчере задач в процессах.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
QuarantineFile('c:\soft\progs.exe','');
TerminateProcessByName('c:\windows\msdrv32.exe');
QuarantineFile('c:\windows\msdrv32.exe','');
TerminateProcessByName('c:\windows\dn.exe');
QuarantineFile('c:\windows\dn.exe','');
DeleteFile('c:\windows\dn.exe');
DeleteFile('c:\windows\msdrv32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
DeleteFile('ICQ.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
Повторяю логи
[B]D:\pno0001.exe[/B] - этот файл Вам известен?
Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/CODE]
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.[/CODE]
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
[quote][B]D:\pno0001.exe[/B] - этот файл Вам известен?[/quote]
Вроде давно его качал, а так даже не помню что это, давно уже там лежит.
Ничего зловредного в логах нет. Что с проблемами?
Проблем тоже не видно.
Спасибо, вам за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\dn.exe - [B]Backdoor.Win32.Poison.baeo[/B] ( DrWEB: BackDoor.Bifrost.8, BitDefender: Trojan.Generic.2739228, AVAST4: Win32:VB-NUJ [Drp] )[*] c:\windows\dn.exe - [B]Net-Worm.Win32.Kolab.fbu[/B] ( DrWEB: BackDoor.Tdss.1133, AVAST4: Win32:VB-NSA [Drp] )[*] c:\windows\system32\dn.exe - [B]Net-Worm.Win32.Kolab.fbu[/B] ( DrWEB: BackDoor.Tdss.1133, AVAST4: Win32:VB-NSA [Drp] )[/LIST][/LIST]