Сильно завирусованный компьютер
Вновь установленным Касперским и проверкой AVZ с LiveCD не удалось справиться
Printable View
Сильно завирусованный компьютер
Вновь установленным Касперским и проверкой AVZ с LiveCD не удалось справиться
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\avstc.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\msfw.exe');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe','');
QuarantineFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ClearHostsFile;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи + сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
Видимый результат не поменялся, Касперский ругается на rootkit:win32.tdss.d в памяти
Файл сохранён как 100921_145232_quarantine_4c988e70dd9d8.zip
Размер файла 300859
MD5 f5c371a739e560265a171d5da9e7dc32
Проверяйтесь так - [URL="http://support.kaspersky.ru/faq/?qid=208636926"]http://support.kaspersky.ru/faq/?qid=208636926[/URL] лог приложите сюда - [QUOTE]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
[/QUOTE]
Проверка TDSSKiller вылечила, лог прилагаю
Гмер либо вешает машину либо сам выгружается либо синий экран
AVZ логи делаю
[QUOTE]Заблокированный сервис(DwProt) - User select action: Delete[/QUOTE] - Зачем под нож пустили сервис Доктор Вэба?
Drweb больше не использую :)
Высылаю отчеты AVZ
Жду результата лечения / проверки
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('F:\autorun.inf');
DeleteFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe');
DelCLSID('67KLN5J1-4OPM-00WE-AAX5-71EF1D187311');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите лог [B]virusinfo_syscheck.zip[/B]
Высылаю лог
[B]I:\[/B] - это Вы уже флешку подключили?
Выполните скрипт в АВЗ -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('I:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe');
DeleteFile('I:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
- Компьютер перезагрузится
- Повторите лог virusinfo_syscheck.zip
Еще файл журнала после выполнения скрипта
[QUOTE='Olejah;710617']I:\ - это Вы уже флешку подключили?[/QUOTE] Ответа на вопрос не увидел.
Флешка использовалась для переноса скрипта
скрипт отрабатывал с флешкой
флешку проверял на др. компьютере, был:
Удалено троянская программа Trojan.Win32.Jorik.IRCbot.hp F:\N_GIGABYTE\N_GIGABYTE\N_GIGABYTEav.exe 22.09.2010 16:35:33
Самое главное, чтобы флешка была подключена при выполнении скрипта из поста №11, потому что на ней были вирусы. А так - чисто.
Спасибо
Выполненил скрипт #11 с флешкой
После удалил названный вирус на др. компьютере
Что с проблемой сейчас?
Внешне все решено. Спасибо
Рекомендуется -
- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\admin\\locals~1\\temp\\avstc.exe - [B]Trojan.Win32.Jorik.IRCbot.hp[/B] ( DrWEB: Trojan.AVKill.2478, BitDefender: Trojan.Generic.5707912, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\admin\\locals~1\\temp\\msfw.exe - [B]Worm.Win32.AutoRun.hjp[/B] ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.KDV.37182, AVAST4: Win32:AutoRun-BPN [Wrm] )[*] c:\\key\\f-2-3-13-23878789098-7675432123-0000900091-777\\x0rr0x.exe - [B]Worm.Win32.AutoRun.brwu[/B] ( DrWEB: Win32.HLLW.Autoruner.15890, BitDefender: Worm.Generic.294133, AVAST4: Win32:Malware-gen )[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.brwu[/B] ( BitDefender: Trojan.Script.473351, NOD32: INF/Autorun virus, AVAST4: INF:AutoRun-BI [Wrm] )[/LIST][/LIST]