Добрый день.
Утром нашел несколько троянов,в том числе Trojan.Win32.Jorik.Bredolab.bq,после лечения сканирование AVPTools и AVIRA антивирус показывает отсутствие вредоносного ПО,но при старте постоянно происходит непрерывная подгрузка с интернета.
Printable View
Добрый день.
Утром нашел несколько троянов,в том числе Trojan.Win32.Jorik.Bredolab.bq,после лечения сканирование AVPTools и AVIRA антивирус показывает отсутствие вредоносного ПО,но при старте постоянно происходит непрерывная подгрузка с интернета.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\crbaraf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\crbaraf\Parameters');
SetServiceStart('crbaraf', 4);
SetServiceStart('.neecmoiipb', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
DeleteService('.neecmoiipb');
QuarantineFile('.neecmoiipb','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
карантин выслал и +
подгрузка продолжается, вчера находил TR\Crypt.ZPACK.Gen -AVIRA и Trojan.NtRootKit.9374 -De.Web CureIt
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
SetServiceStart('Mosvchs', 4);
DeleteService('Mosvchs');
DeleteService('crbaraf');
QuarantineFile('Mosvchs.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\crbaraf.sys');
BC_DeleteSvc('crbaraf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
карантин выслал +
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]procedure SVCFRQ(svcname:string);
var hfile:string;
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters');
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters','ServiceDll');
if hfile<>'' then
begin
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end else
begin
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname,'ImagePath');
if hfile<>'' then
begin
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end else
begin
hfile:=GetEnvironmentVariable('SystemRoot')+'\system32\drivers\'+svcname+'.sys';
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end;
end;
end;
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SVCFRQ('crbaraf');
BC_DeleteSvcReg('crbaraf');
QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys','');
QuarantineFile('C:\Program Files\4GAME\LineageII\frost\frost.sys','');
QuarantineFile('Asmcsrvordmt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
скрипт выполнил, после рестарта пропала возможность вставки файлов.
Выложите логи на файлообменник и дайте ссылки на них
Старт поиска в 'C:\WINDOWS\system32\drivers'
C:\WINDOWS\system32\drivers\crbaraf.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Crypt.ZPACK.Gen
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
[ПРЕДУПРЕЖДЕНИЕ] Удаление файла невозможно.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был "удален"
Через некоторое время обнаруживается снова + постоянная активность в интернет.
Обновляю файлы + высылаю карантин (Файл сохранён как 100722_151721_virus_4c4828c19e094.zip )
1. Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL]. В меню драйверов правой кнопкой по [B]crbaraf[/B] и выберите "[U]Turn Run Off[/U]", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]procedure SVCFRQ(svcname:string);
var hfile:string;
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters');
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters','ServiceDll');
if hfile<>'' then
begin
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end else
begin
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname,'ImagePath');
if hfile<>'' then
begin
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end else
begin
hfile:=GetEnvironmentVariable('SystemRoot')+'\system32\drivers\'+svcname+'.sys';
FSResetSecurity(hfile);
QuarantineFile(hfile,'');
DeleteFile(hfile);
end;
end;
end;
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SVCFRQ('crbaraf');
BC_DeleteSvcReg('crbaraf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
3. Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
2 файла + файл карантина (Файл сохранён как 100722_160505_virus_4c4833f1702b5.zip )
[B]Tymur A.[/B], нажмите [img]http://virusinfo.info/images/buttonsru/post_thanks.gif[/img] под сообщением [B]Kuzz[/B].
В логе чисто. "Подгрузка с интернета" прекратилась?
Подгрузка прекратилась,спасибо Вам всем большое.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]