Не войти в инет , удалился антивирус,хайджек и доктор веб не открываются .
Printable View
Не войти в инет , удалился антивирус,хайджек и доктор веб не открываются .
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A323342');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\SYSTEM\FOLDER\AmdSys.exe','');
QuarantineFile('C:\WINDOWS\TEMP\2.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8498779882-7172930786-200231929-0662\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5084464406-5252132087-493469512-4292\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5084464406-5252132087-493469512-4292\sysdrv.exe','');
DeleteService('glaide32');
QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Regvi.exe','');
DeleteService('Regvi Controler');
QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
TerminateProcessByName('c:\windows\ccdrive32.exe');
QuarantineFile('c:\windows\ccdrive32.exe','');
DeleteFile('c:\windows\ccdrive32.exe');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Regvi.exe');
DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-5084464406-5252132087-493469512-4292\sysdrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8498779882-7172930786-200231929-0662\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5084464406-5252132087-493469512-4292\sysdrv.exe');
DeleteFile('C:\WINDOWS\TEMP\2.tmp');
DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
DeleteFile('D:\autorun.wsh');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
лог
1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится
2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению
3. Пофиксите в Hijack
[code]F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,[/code]
4. Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8498779882-7172930786-200231929-0662\wmfcgr.exe','');
DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
DelBHO('{EEE6C35B-6118-11DC-9C72-001320C79847}');
DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-8498779882-7172930786-200231929-0662\wmfcgr.exe');
DeleteFileMask('C:\Program Files\IEToolbar404', '*.*', true);
DeleteDirectory('C:\Program Files\IEToolbar404');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
5. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
6. [B]Обновите базы AVZ[/B]
7. Сделайте новый лог
скрипт хайджек не выполнил,хайджек не открывает
карантин вроде загрузился
базы не обновил,обновление блокируется
system32\drivers\raspppoe.sys замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Что с запуском антивируса и HiJack?
Сделайте новые логи
заменил raspppoe.sys с другого компа с того же дистрибутива
в инет стал выходить,базы авз обновил.
Но хайджек не запускается пишет что не являетс приложением вин 32,доктор веб тоже ,нода поставил и обновил без проблем
карантин прилагаю
Отчет GSI сделайте (ссылка в подписи)
сделал
Хайджек и кур ит которые не запускались видимо были битыми...я тупанул,с виду всё работает,если логи чистые то тема закрыта. спасибо
А зачем утилиту вложили вместо ее отчета?
Перепутал ))) я сканил на том компе кидал на флэху и втыкал в ноут (т.к сначала в инет было не выйти) видимо в запаре и перепутал )))
Вот оно,правда комп уже уехал.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-8498779882-7172930786-200231929-0662\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.npl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )[*] c:\windows\system32\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Agent2.lhc[/B] ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Agent.AOCZ, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Downloader-CZJ [Trj] )[*] c:\windows\temp\2.tmp - [B]Trojan.Win32.FraudPack.ptw[/B] ( BitDefender: Trojan.Generic.2395123, AVAST4: Win32:Malware-gen )[/LIST][/LIST]