Printable View
Проблема такая же как в и других темах: блокировка антивирусов, exe, etc в обычном и безопасном режимах и т.п. Из под обычного режима удалось сделать только 2 лога
П.с извиняюсь за дабл пост, недодумался отредактировать предыдущию тему добавив новые логи
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\vpktyc.dll','');
DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\vpktyc.dll');
BC_DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\vpktyc.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать заново логи.
Все выполнил, признаков вируса вродебы нет, остались побочные эффекты ввиде отключеного диспетчера задачи, пофиксил их через авз
Профиксить:
[CODE]
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Сергей\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - shell32.dll (file missing)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('npggsvc');
DeleteFile('C:\WINDOWS\system32\GameMon.des');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Мастер поиска и устранения проблем -- Все проблемы -- отметить и выполнить.
Повторить логи.
Сделано
еще чуток:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\F942~1\LOCALS~1\Temp\vpktyc.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Станд скрипт №2 повторите. Лог пришлите.
Сделал
Зачищено.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\f942~1\locals~1\temp\vpktyc.dll - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]