Здравствуйте
Нашлась вот эта зараза. После лечения AVPTool'ом вирусные файлы появляются вновь (в Temporary Internet Files и пр. местах).
Printable View
Здравствуйте
Нашлась вот эта зараза. После лечения AVPTool'ом вирусные файлы появляются вновь (в Temporary Internet Files и пр. местах).
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\Whuyshlw.dll','');
QuarantineFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Скрипты выполнил. Карантин выслал по ссылке.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe','');
DeleteFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe');
DeleteService('vsd');
BC_DeleteSvc('vsd');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
Также сделайте
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Логи
RSIT
Делайте логи [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url] и [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Кстати, позвольте ламерский вопрос. Как отключить eset? Что только ни пробовал! ekrn всегда появляется
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
StpSrv
Folder::
c:\windows\system32\HO6UX4N0
c:\windows\system32\FTAGLA8H
c:\windows\system32\EZD08FVX
c:\windows\system32\D0X1I2HJ
c:\windows\system32\CTHVV2Z2
c:\windows\system32\BZKHJ7LJ
c:\windows\system32\AS3CV833
c:\windows\system32\7X7WJDQK
c:\windows\system32\6RRRVE83
c:\windows\system32\50FXX0UG
c:\windows\system32\4QF6VJD4
c:\windows\system32\3RY656YP
c:\windows\system32\2SI7FUKB
c:\windows\system32\0M11SV3U
c:\windows\system32\ZR5NGZPB
c:\windows\system32\X0N04NGT
c:\windows\system32\WU7VINYD
c:\windows\system32\VZBG5SKU
c:\windows\system32\UPBQ3C2I
c:\windows\system32\TUEBRHOY
c:\windows\system32\SNY53H7J
c:\windows\system32\QT1QSMTZ
c:\windows\system32\PUYK3W4U
c:\windows\system32\OKYT2GNJ
c:\windows\system32\NP1FQL8Z
c:\windows\system32\MJM82LRJ
c:\windows\system32\LOPUQQEZ
c:\windows\system32\JTSFEVZG
c:\windows\system32\INDAQVI0
c:\windows\system32\HOWA0J3L
c:\windows\system32\GPGBA6P6
c:\windows\system32\FKDXOUX0
c:\windows\system32\EPGJDZKH
c:\windows\system32\CIZEP020
c:\windows\system32\BN3YD4OH
c:\windows\system32\AHNTP561
c:\windows\system32\8MREDBTI
c:\windows\system32\7RUZ0FFY
c:\windows\system32\5LEUDGXI
c:\windows\system32\4QIF1LJY
c:\windows\system32\3K1AEL1J
c:\windows\system32\2P4U1QOZ
c:\windows\system32\1JPPER6J
c:\windows\system32\ZC8KQRP3
c:\windows\system32\YHC4EWBK
c:\windows\system32\XBWZQXT3
c:\windows\system32\WGZLF1GK
c:\windows\system32\VAJFR2Y4
c:\windows\system32\UFN0F7KL
c:\windows\system32\S86VR724
c:\windows\system32\REAGFDOL
c:\windows\system32\Q6UBRE65
c:\windows\system32\PDXVFJTM
c:\windows\system32\NYILUW84
c:\windows\system32\MR1G6WRO
c:\windows\system32\L6LD08B8
c:\windows\system32\K047DATT
c:\windows\system32\JUP2PACD
c:\windows\system32\HS5BIFL1
c:\windows\system32\GBWZNLF7
c:\windows\system32\F56G3WEC
c:\windows\system32\EBA0R1ZS
c:\windows\system32\D4TV31IC
c:\windows\system32\BXDQG20V
c:\windows\system32\ARBEUQ8P
c:\windows\system32\8EU2A3O7
c:\windows\system32\77RQORW1
c:\windows\system32\60BK0SFL
c:\windows\system32\4UVFDSX4
c:\windows\system32\3ZY00XJM
c:\windows\system32\2HY41TY8
c:\windows\system32\1BJZFUHS
c:\windows\system32\0LJXI3TF
c:\windows\system32\YRQWC5KO
c:\windows\system32\XNQYWQXB
c:\windows\system32\WJQZHCBX
c:\windows\system32\V2UIO4VD
c:\windows\system32\T0BQHA42
c:\windows\system32\SNL00XY4
c:\windows\system32\RUSZUZQE
c:\windows\system32\Q1ZYO1HN
c:\windows\system32\OKPOT8CT
c:\windows\system32\N3GEYF60
c:\windows\system32\M5QZCD74
c:\windows\system32\MDR6LSBT
c:\windows\system32\L2I1OL80
c:\windows\system32\JHCEDNE1
c:\windows\system32\IN4K42F1
c:\windows\system32\HQSYKN5G
c:\windows\system32\GWVK8SSW
c:\windows\system32\FPGELSBG
c:\windows\system32\EJZ8XTT0
c:\windows\system32\CCJ3AUCK
c:\windows\system32\CN7G4P43
c:\windows\system32\PFPK4BYQ
c:\windows\system32\IQWZ7CBF
c:\windows\system32\C286NDJW
c:\windows\system32\BZ0MTVA6
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
ComboFix по выполнении кода
[B]Пуск - Выполнить - regedit[/B]
Зайдите в ветку
[CODE][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost][/CODE]и удалите параметр [B]StpSrv[/B]
Удаляемые файлы будут дектироваться как [B]Backdoor.Win32.Nbdd.adj[/B]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\Whuyshlw.dll
c:\windows\system32\Wruksnlw.dll
c:\windows\system32\Wtuysrlw.dll
c:\windows\system32\Wxuwshlw.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Параметр StpSrv удалил. Backdoor.Win32.Nbdd.adj не видел.
Лог в порядке. Проблема решена?
avptool обнаружил и удалил Backdoor.Win32.Nbdd.adj После этого проверил им ещё 2 раза с перезагрузкой - ничего зловредного не обнаружено.
Смените все пароли
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
+ к thyrex [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\whuyshlw.dll - [B]Backdoor.Win32.Nbdd.adj[/B] ( BitDefender: Trojan.Generic.4277549, AVAST4: Win32:Dogrobot [Drp] )[/LIST][/LIST]