трояны

Printable View

Показывать 40 сообщений этой темы на одной странице

08.06.2010, 20:12
Gross

Вложений: 1

трояны

Помогите пожалуйста избавится от вирусов. Проверил комп с помощью AVPTool он нашел несколько троянов, удаляю их, но через некотрое время они снова появляются. Также обрывается доступ в интернет, пропали свойства папки в сервисе. Все время пропадает языковая панель. Все время вылазиет этот процесс wndrive32.exe и иногда процессы с цифровыми именами типа 067.exe 800.exe.
08.06.2010, 21:09
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9655315319-8234354061-416217282-2186\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9655315319-8234354061-416217282-2186\syscr.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(13)
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
09.06.2010, 09:31
Gross

Вроде сделал все. Логи делать все время в безопасном режиме?
09.06.2010, 18:54
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\программы\установочные\Панель быстрого запуска\Панель.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log) в нормальном режиме
10.06.2010, 09:23
Gross

вот логи
10.06.2010, 10:36
polword

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-7471125325-2909798332-935462288-6107\syscr.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
10.06.2010, 11:21
Gross

Скрипт выполнил. "Обновление для Windows XP (KB898461)" это не обновляется другие вроде ообновились. мне делать логи?
10.06.2010, 11:46
polword

[QUOTE=Gross;652537]мне делать логи?[/QUOTE] да
10.06.2010, 12:02
Gross

Логи
10.06.2010, 12:18
polword

сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
10.06.2010, 12:44
Gross

сделал
10.06.2010, 12:56
polword

лог какой-то оборванный. сделайте его еще раз
10.06.2010, 14:04
Gross

сейчас?
10.06.2010, 14:15
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\_MSRSTRT.EXE','');
QuarantineFile('c:\windows\FlyakiteOSX\Backup\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

PartyGaming, PokerStars, PacificPoker - сами ставили?
10.06.2010, 14:24
Gross

карантин отправил. Сам ставил покер-румы
11.06.2010, 19:31
polword

карантина нет
12.06.2010, 11:42
Gross

[QUOTE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\_MSRSTRT.EXE','');
QuarantineFile('c:\windows\FlyakiteOSX\Backup\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/QUOTE]
после этого скрипта создается карантиН?
14.06.2010, 15:20
AndreyKa

Если файлы есть на диске, то да.
Проблема решена?
15.06.2010, 16:28
Gross

Нет проблема не решена. Эти файлы есть, но почему то не добавляются в карантин. Архив создается пустым
15.06.2010, 20:24
polword

Пришлите эти файлы запакованным вручную в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Показывать 40 сообщений этой темы на одной странице