Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
И наверное еще несколько вирусов..
Printable View
Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
И наверное еще несколько вирусов..
Выполните скрипт в AVZ:
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ggdrive32.exe');
TerminateProcessByName('c:\documents and settings\admin\betd.exe');
TerminateProcessByName('c:\documents and settings\admin\96.exe');
ClearQuarantine;
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\documents and settings\admin\betd.exe','');
QuarantineFile('c:\documents and settings\admin\96.exe','');
DeleteFile('c:\documents and settings\admin\96.exe');
DeleteFile('c:\documents and settings\admin\betd.exe');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
WhatService('tosowgf');
WhatService('xtmnth');
WhatService('xwiccsapc');
SaveLog(GetAVZDirectory+'whatsvc.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Из папки AVZ файл whatsvc.log приложите в теме.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
все сделал.
[QUOTE='Nikkollo;774306']Из папки AVZ файл whatsvc.log приложите в теме.
Повторите лог virusinfo_syscheck.zip и приложите в теме.[/QUOTE]
А это?
это я выложил, он видимо заменился вместо старого.
Надо было в новом сообщении прикрепить. Ну да ладно.
Делайте в указанной последовательности:
Обновите Internet Explorer до актуальной версии (даже если не используете).
Выполните скрипт в AVZ отсюда:
[url]http://df.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам ([url]http://.[/url]..) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://df.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\xdx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Вроде все сделал, обновления установил, после перезагрузки еще раз выполнил скрипт , написал что уязвимостей нет.
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ggdrive32.exe');
TerminateProcessByName('c:\documents and settings\admin\betd.exe');
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ctpcmcia.dll','');
QuarantineFile('C:\Program Files\winrar\rarext.dll','');
DeleteFile('c:\documents and settings\admin\betd.exe');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('C:\Documents and Settings\Admin\betd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\34.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\xdx.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.
все сделал.
Удалите в MBAM:
[CODE]Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\1Z7I9BZ9\xxudv[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[2].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[2].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\7[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\tdvunlrn[1].bmp (Extension.Mismatch) -> No action taken.
c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.[/CODE]
После удаления отпишитесь - что с проблемой?
Повторите для конроля лог virusinfo_syscheck.zip и приложите в теме.
Ну вроде нет процесса ggdrive32 и на диске c нет файла xdx.
Чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\betd.exe - [B]Trojan.Win32.FakeAv.bhes[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Fakealert.28761, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )[*] c:\\documents and settings\\admin\\96.exe - [B]Backdoor.Win32.Floder.f[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Backdoor.Win32.Floder.e[/B] ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.FakeAv.bheq[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Gen:Variant.Kazy.15167, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )[*] c:\\windows\\ggdrive32.exe - [B]Backdoor.Win32.Floder.f[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\11.exe - [B]Backdoor.Win32.Floder.f[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\53.exe - [B]Backdoor.Win32.Floder.f[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\xdx.exe - [B]Backdoor.Win32.Floder.e[/B] ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, AVAST4: Win32:Downloader-NUE [Trj] )[/LIST][/LIST]