На машине установлен DrWeb. После загрузки в трее его значок не появляется. При попытке открыть Диспетчер задач появляется, сообщение, что диспетчер задач отключен администратором. Kav LiveCD ничего не нашел.
Printable View
На машине установлен DrWeb. После загрузки в трее его значок не появляется. При попытке открыть Диспетчер задач появляется, сообщение, что диспетчер задач отключен администратором. Kav LiveCD ничего не нашел.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\38.scr','');
QuarantineFile('C:\Documents and Settings\Татьяна\qyb.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avtdqkqg.sys','');
DeleteService('avtdqkqg');
DeleteFile('C:\WINDOWS\System32\Drivers\avtdqkqg.sys');
DeleteFile('C:\Documents and Settings\Татьяна\qyb.exe');
DeleteFile('C:\WINDOWS\system32\38.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи + такой [url]http://www.gmer.net/[/url]
Карантин выслал. Вот логи.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruitafulxli.sys','');
QuarantineFile('C:\WINDOWS\system32\hjgruirjnyuwcr.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruiipfypeqx.dat','');
QuarantineFile('C:\WINDOWS\system32\hjgruitkbptvib.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruieaxwhowb.dat','');
QuarantineFile('ovfsthff.dll','');
QuarantineFile('ovfsthwi.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthicpsfqpxmsbneaasncpppafaxviksenp.sys','');
QuarantineFile('C:\WINDOWS\system32\ovfsthuavdfolbbytuhfsriyloktklefdiasfv.dat','');
QuarantineFile('C:\WINDOWS\system32\ovfsthwvyuutdbqaompymjaojlwyedljbwjqhs.dll','');
QuarantineFile('C:\WINDOWS\system32\ovfsthgsedgrmvidtydrjmikoyqyjpqkdabmyd.dat','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]jn3pn3w9.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
jn3pn3w9.exe -del service hjgruitamdbmyk
jn3pn3w9.exe -del service ovfsthlnbmqibatmtekppbfoowfhexvivptamk
jn3pn3w9.exe -del file "\systemroot\system32\drivers\hjgruitafulxli.sys"
jn3pn3w9.exe -del file "\systemroot\system32\hjgruirjnyuwcr.dll"
jn3pn3w9.exe -del file "\systemroot\system32\hjgruiipfypeqx.dat"
jn3pn3w9.exe -del file "\systemroot\system32\hjgruitkbptvib.dll"
jn3pn3w9.exe -del file "\systemroot\system32\hjgruieaxwhowb.dat"
jn3pn3w9.exe -del file "\systemroot\system32\ovfstheevddcbbjpgtcivnlowxdqwlkjtpuxcr.dll"
jn3pn3w9.exe -del file "\systemroot\system32\drivers\ovfsthicpsfqpxmsbneaasncpppafaxviksenp.sys"
jn3pn3w9.exe -del file "\systemroot\system32\ovfsthuavdfolbbytuhfsriyloktklefdiasfv.dat"
jn3pn3w9.exe -del file "\systemroot\system32\ovfsthwvyuutdbqaompymjaojlwyedljbwjqhs.dll"
jn3pn3w9.exe -del file "\systemroot\system32\ovfsthsmebsbinrimvxuuqsrqumemuenfstfsb.dll"
jn3pn3w9.exe -del file "\systemroot\system32\ovfsthgsedgrmvidtydrjmikoyqyjpqkdabmyd.dat"
jn3pn3w9.exe -del file "ovfsthwi.dll"
jn3pn3w9.exe -del file "ovfsthff.dll"
jn3pn3w9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruitamdbmyk"
jn3pn3w9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hjgruitamdbmyk"
jn3pn3w9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruitamdbmyk"
jn3pn3w9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthlnbmqibatmtekppbfoowfhexvivptamk "
jn3pn3w9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthlnbmqibatmtekppbfoowfhexvivptamk "
jn3pn3w9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ovfsthlnbmqibatmtekppbfoowfhexvivptamk "
jn3pn3w9.exe -reboot[/CODE]
Компьютер перезагрузится
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
Карантин выслал
Сохраните текст ниже как cleanup.bat в ту же папку, где находится jn3pn3w9.exe (gmer)
[CODE]jn3pn3w9.exe -del file "c:\windows\system32\drivers\ovfsthicpsfqpxmsbneaasncpppafaxviksenp.sys"
jn3pn3w9.exe -del file "c:\windows\system32\ovfstheevddcbbjpgtcivnlowxdqwlkjtpuxcr.dll"
jn3pn3w9.exe -del file "c:\windows\system32\ovfsthuavdfolbbytuhfsriyloktklefdiasfv.dat"
jn3pn3w9.exe -del file "c:\windows\system32\ovfsthwvyuutdbqaompymjaojlwyedljbwjqhs.dll"
jn3pn3w9.exe -del file "c:\windows\system32\ovfsthsmebsbinrimvxuuqsrqumemuenfstfsb.dll"
jn3pn3w9.exe -del file "c:\windows\system32\ovfsthgsedgrmvidtydrjmikoyqyjpqkdabmyd.dat"
jn3pn3w9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthlnbmqibatmtekppbfoowfhexvivptamk"
jn3pn3w9.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполните скрипт в AVZ
[code]begin
DeleteFile('G:\autorun.inf');
ExecuteRepair(6);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Значек появился. Вот логи.
G:\autorun.inf - это не Ваш файл?
Это флэшку забыл вынуть. Там авторан как защита от вируса создан.
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]Больше ничего плохого
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url]
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]