На рабочем столе вылетает полупрозрачное сообщение, мол вы используете Get Acceleraor без лицензии, отправьте смс и т.д. Интернета нет, т.е. на сайты зайти нельзя, но по ip они пингуются
Прилагаю все необходимые логи
Printable View
На рабочем столе вылетает полупрозрачное сообщение, мол вы используете Get Acceleraor без лицензии, отправьте смс и т.д. Интернета нет, т.е. на сайты зайти нельзя, но по ip они пингуются
Прилагаю все необходимые логи
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\верст\av_md.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe','');
QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbhnamhn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kbhnamhn.sys');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\av_md.exe');
DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
DeleteFile('C:\Documents and Settings\верст\av_md.exe');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('E:\autorun.wsh');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=62291[/url]).
Почистите каждому пользователю временные файлы IE и папку Local Settings\Temp.
Сделайте новые логи.
Выполнил скрипт, результата пока нет, все папки почитсил, выслал карантин, плюс новые логи
Выполните скрипт в avz
[code]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новые логи.
Нужно обязательно все три лога, ато первый очень долго делается
Надо.
вот очередные логи
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог[B] ПК не перезагружайте ![/B]
Пожалуйста
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\ijrupyna.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\ijrupyna.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
Система не дает мне загрузить карантин, говорит что данный файл уже был загруден (хотя я его переименовывал) лог прикладываю
Вы ПК после создания лога перезагружали ?
Выполните скрипт в avz
[code]begin
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\wdtdbiaa.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\wdtdbiaa.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
Не перезагружал, как вы и сказали, вот лог
Я компьютер оставлю включенным до завтра до утра, ато мне уже уходить надо, спасибо за помощь, завтра продолжим
Пока безуспешно :(
Отключив интернет и антивирус, удалите файл
[B]C:\WINDOWS\System32\Drivers\njcwfymv.SYS[/B]
с помощью Ice Sword, как описано здесь:
[url]http://virusinfo.info/showthread.php?t=17228[/url].
Только в конце вместо перезагрузки выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\njcwfymv.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте новый лог syscheck.
Ice Sword не видит этого файла, что делать?
Через консоль тоже ну удается удалить, говорит, что нет такого файла
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\njcwfymv.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\njcwfymv.SYS');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aekgoprn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Спасибо всем кто помогал, к сожалению нет больше времени вылавливать этого зловреда, пришлось систему переустановить, а жаль, хотелось с ним разобраться по уму:). Ну да ладно, еще раз спасибо. Тема закрыта
[quote]Спасибо всем кто помогал, к сожалению нет больше времени вылавливать этого зловреда, пришлось систему переустановить, а жаль, хотелось с ним разобраться по уму. Ну да ладно, еще раз спасибо. Тема закрыта[/quote]
Мы уже нашли лечение от данного зловреда.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\av_md.exe - [B]Backdoor.Win32.HareBot.alo[/B] ( BitDefender: Trojan.Generic.2832745, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Agent-AIMZ [Trj] )[/LIST][/LIST]