Проблема с вирусами

Printable View

Показывать 40 сообщений этой темы на одной странице

12.04.2010, 12:35
Евгений Деревянченко

Вложений: 2

Проблема с вирусами

Проверка ПК показала наличие вирусов, Аwast отправляет файлы в карантин,DR Curelt удаляет их но после перезагрузки ПК все идет по новой.
В безопасном режиме ПК не грузится.
Virus Removal Tool тоже не помог.
12.04.2010, 13:22
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\наташа\application data\ahrg.exe,explorer.exe,','');
QuarantineFile('c:\documents and settings\наташа\application data\ahrg.exe','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lynzusrv.sys','');
DeleteService('lynzusrv');
QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe','');
DeleteService('ICF');
DeleteService('eugacyfz');
QuarantineFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\wokoovi.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\utixodky.sys','');
QuarantineFile('c:\documents and settings\Наташа\application data\microsoft\doopekew.exe','');
DeleteFile('c:\documents and settings\Наташа\application data\microsoft\doopekew.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\utixodky.sys');
DeleteFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\wokoovi.exe');
DeleteFile('C:\WINDOWS\system32\icf.exe.exe:exe.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\lynzusrv.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
DeleteFile('c:\documents and settings\наташа\application data\ahrg.exe');
DeleteFile('c:\documents and settings\наташа\application data\ahrg.exe,explorer.exe,');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
12.04.2010, 14:08
Евгений Деревянченко

Скрипт выполнен, карантин и логи загружаю.
12.04.2010, 14:55
polword

Карантин загрузился, осталось логи прикрепить
12.04.2010, 15:26
Евгений Деревянченко

Логи прикрепил .
12.04.2010, 15:37
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\doopekew.exe','');
QuarantineFile('c:\documents and settings\Наташа\application data\microsoft\fynnou.exe','');
DeleteFile('c:\documents and settings\Наташа\application data\microsoft\fynnou.exe');
DeleteFile('C:\WINDOWS\system32\doopekew.exe');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
12.04.2010, 16:51
Евгений Деревянченко

Новые логи.
12.04.2010, 17:10
V_Bond

такой [url]http://www.gmer.net/[/url] лог сделайте
12.04.2010, 17:18
Евгений Деревянченко

Сделано.
13.04.2010, 07:45
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- скачайте обычный AVZ [URL="http://z-oleg.com/avz4.zip"]тут[/URL]
- Распакуйте из архива Антивирусную утилиту AVZ и поместите в новую отдельную папку.
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторный логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1 и 2 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip;)
13.04.2010, 10:00
Евгений Деревянченко

Выкладываю логи
13.04.2010, 10:32
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\Наташа\application data\microsoft\fynnou.exe');
TerminateProcessByName('c:\windows\system32\doopekew.exe');
TerminateProcessByName('c:\documents and settings\Наташа\application data\microsoft\doopekew.exe');
QuarantineFile('C:\WINDOWS\system32\doopekew.exe','');
QuarantineFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\doopekew.exe','');
QuarantineFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\wokoovi.exe','');
DeleteFile('c:\windows\system32\doopekew.exe');
DeleteFile('c:\documents and settings\Наташа\application data\microsoft\fynnou.exe');
DeleteFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\wokoovi.exe');
DeleteFile('C:\Documents and Settings\Наташа\Application Data\Microsoft\doopekew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wytylok');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wytylok');
BC_ImportALL;
BC_DeleteSvc('eugacyfz');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи
13.04.2010, 13:01
Евгений Деревянченко

Повторные логи. карантин отправляю.
13.04.2010, 13:11
vegas

Пофиксите Hijackthis
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/code],
в логах АВЗ чисто, что с проблемами?
13.04.2010, 13:29
Евгений Деревянченко

пофиксил. проверяю DR WEB.
13.04.2010, 14:43
polword

Безопасный режим появился?
14.04.2010, 13:15
Евгений Деревянченко

Dr Web ничего не находил, но безопасный режим недоступен, при попытке загрузки иэроглифы, и происходит перезагрузка.
14.04.2010, 13:26
vegas

Выполните скрипт
[code]begin
ExecuteRepair(10);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/code]
Безопасный режим появился?
14.04.2010, 14:06
Евгений Деревянченко

Безопасный появился, иероглифы не пропали.
14.04.2010, 14:19
vegas

Выполните скрипт
[code]begin
ExecuteRepair(7);
RebootWindows(true);
end.[/code]
Результат отпишите

Показывать 40 сообщений этой темы на одной странице