В реестре, в автозапуске, и прочее после лечения виросв их записи остались, помогите почистить.
Printable View
В реестре, в автозапуске, и прочее после лечения виросв их записи остались, помогите почистить.
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe,C:\Documents and Settings\Admin\Application Data\vmpfze.exe,C:\Documents and Settings\Admin\Application Data\oreaw.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5007839843-3617302065-990463996-0655\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\vmpfze.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\oreaw.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5007839843-3617302065-990463996-0655\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe','');
StopService('olddiozz');
DeleteService('olddiozz');
QuarantineFile('C:\WINDOWS\System32\Drivers\olddiozz.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\olddiozz.sys');
DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe,C:\Documents and Settings\Admin\Application Data\vmpfze.exe,C:\Documents and Settings\Admin\Application Data\oreaw.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5007839843-3617302065-990463996-0655\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\vmpfze.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\oreaw.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5007839843-3617302065-990463996-0655\yv8g67.exe');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('olddiozz');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- [url="http://virusinfo.info/upload_virus.php?tid=84971"]Закачайте файл ..\avz\quarantine.zip[/url] для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
После выполнения скрипта и перезагрузки помимо появления нового устройства появились еще какие то устройства в сетевой карте, и сама карта перестала работать, восклицательный знак и все, ни удалить ни переустановить, ничего поделать нельзя.
вот скрин диспетчера задач:
[url=http://radikal.ru/F/s61.radikal.ru/i173/1008/95/738436c2557b.jpg.html][img]http://s61.radikal.ru/i173/1008/95/738436c2557bt.jpg[/img][/url]
Все пишу с другого компа, так как на том теперь нет сети.
Файл сохранён как100809_140750_virus_4c5fd37666400.zipРазмер файла336681MD5a1414dd72a28967a9803a018b1adf307
В поиске на этом форуме нашел такую же проблему, человек написал что решилось все закидыванием файла ndis.sys в system32\drivers, но аваст сразу же ругается на то что этот фал заражен вирусом, после перезагрузки компьютер вываливается в BSOD, если файл удалить то работает нормально все кроме сетевой карты.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('%System32%\sfc_os.dll','');
QuarantineFile('%System32%\sfcfiles.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
QuarantineFile('C:\Documents and Settings\Admin\msgvn.exe','');
QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Admin\msgvn.exe');
QuarantineFile('rrrc.yeo','');
DeleteFile('rrrc.yeo');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Файл сохранён как100811_125124_virus_4c62648c3d488.zipРазмер файла111305MD5fbc151b29fe3207686b78bf4157f4042
Новый лог. Проблема бсодов решилась заменой ОЗУ, а вот сетевую карту утсановить никак не удается.
НЕт, все так же,если бросить файл ndis.sys туда где он должен лежать, система по прежнему на стадии загрузки выдает бсод. если его удалить работает нормально.
-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('srservice.sys');
DeleteFile('%windir%\system32\drivers\srservice.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки:
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Новые логи.
1. удалите в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{ff4ec53a-ca51-9a39-6cdd-5ffb26fb445c} (Spyware.Bividon) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Local Settings\Temp\8.tmp (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\Admin\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
[/CODE]
2.Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
[/CODE]
- Сделайте повторный лог [B]MBAM[/B]
- Сделайте повторный лог [B]hijackthis.log[/B]
Пофиксил, удалил. Прбовал снова закинуть файл по назначению, опять синий экран. Новые логи.
[QUOTE=Nobil;686354]Прбовал снова закинуть файл по назначению, опять синий экран.[/QUOTE]Логи чистые. Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь. Куда/что закидывали? Что написано на синем экране?
ЧТо дает установка IE8? Закидывал файл ndis.sys в папку windows\system32\drivers после перезагрузки стабильно ошибка 0х000007Е.
[QUOTE=Nobil;686444]ЧТо дает установка IE8?[/QUOTE]ИЕ является частью операционной системы, его уязвимости - уязвимостями системы.
[QUOTE=Nobil;686444]
Закидывал файл ndis.sys в папку windows\system32\drivers после перезагрузки стабильно ошибка 0х000007Е.[/QUOTE]Значит не та версия Винды или не тот Сервис Пак.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\ctfmon.exe - [B]P2P-Worm.Win32.Palevo.fuc[/B] ( DrWEB: Trojan.Packed.20388, BitDefender: Gen:Variant.Palevo.6 )[/LIST][/LIST]