Удалите старые логи здесь [url]http://virusinfo.info/profile.php?do=editattachments[/url]
Printable View
Удалите старые логи здесь [url]http://virusinfo.info/profile.php?do=editattachments[/url]
2 Maxim это же не у меня ... :)
:dry:
перед выполнением скриптов обязательно отключите аутпост ...
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\iwtplykr', 'Start');
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('5FB8C5D4-929F-4870-89E2-7E3EE26EE701');
DeleteFile('C:\WINDOWS\System32\DRIVERS\iwtplykr.sys');
DeleteFile('C:\WINDOWS\system32\9a51.dll');
BC_DeleteSvc('iwtplykr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите последний лог ...
Второй скрипт после первой перезагрузки выполнить не мог - артачился, та же ошибка, что и на предыдущей странице (Outpost был отключен). Пришлось делать в БР. :mad:
[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\DRIVERS\iwtplykr.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
сделать новый лог ...
И-и-и-иха! :hi:
странно .... снова на месте .... давайте все что описано в посте 26 ... только в SAFE Mode ...
А я сначала и пробовал в Safe Mode. Программа (RootkitUnhooker) писала что не может найти какой-то драйвер. :unsure:
кажется мы победили .... остались только следы ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('iwtplykr');
DeleteFile('C:\WINDOWS\System32\DRIVERS\iwtplykr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
и лог думаю последний раз ...
:smile:
в логах чисто ...
какие-то проблемы остались ?
Вроде проблем нет. Огромное спасибо.
Подскажите пожалуйста, как избежать дальнейшего проникновения подобного? Какие антивирусы и фаерволы нужно использовать? И зачем мне было удалять Ad-Aware и можно ли его установить заново. :rolleyes:
[URL="http://virusinfo.info/showthread.php?t=1550"]рекомендуемые антивирусы[/URL] ...
при наличии нормального антивируса в адваре нет необходимости ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]71[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\downlo~1\\do5.dll - [B]Trojan-Downloader.Win32.Agent.gzt[/B] (DrWEB: Trojan.DownLoader.38487)[*] c:\\windows\\downlo~1\\ik67d8.dll - [B]Trojan-Downloader.Win32.Agent.gzt[/B] (DrWEB: Trojan.DownLoader.38487)[*] c:\\windows\\downlo~1\\o0fkst.dll - [B]Trojan-Downloader.Win32.Agent.gzt[/B] (DrWEB: Trojan.DownLoader.36511)[*] c:\\windows\\downlo~1\\vwg.dll - [B]Trojan-Downloader.Win32.Agent.gzt[/B] (DrWEB: Trojan.DownLoader.36511)[*] c:\\windows\\downlo~1\\vwrdbzix.dll - [B]not-a-virus:AdWare.Win32.Agent.zq[/B] (DrWEB: Adware.Sogou.70)[*] c:\\windows\\system32\\a5db1.exe - [B]Trojan.Win32.BHO.aot[/B] (DrWEB: Adware.Sogou.79)[*] c:\\windows\\system32\\drivers\\devmgy.sys - [B]Trojan.Win32.Zapchast.dm[/B] (DrWEB: Trojan.NtRootKit.522)[*] c:\\windows\\system32\\drivers\\ei0nkt2e.sys - [B]Trojan-Downloader.Win32.Hmir.pe[/B] (DrWEB: Trojan.NtRootKit.528)[*] c:\\windows\\system32\\drivers\\iwtplykr.sys - [B]Trojan-Downloader.Win32.Hmir.pe[/B] (DrWEB: Trojan.NtRootKit.529)[*] c:\\windows\\system32\\drivers\\mxdispdr.sys - [B]not-a-virus:AdWare.Win32.Cinmus.bbt[/B] (DrWEB: Adware.Cinmus.104)[*] c:\\windows\\system32\\flym.dll - [B]not-a-virus:AdWare.Win32.BHO.ri[/B] (DrWEB: Adware.Baidu.333)[*] c:\\windows\\system32\\9a51.dll - [B]not-a-virus:AdWare.Win32.BHO.ro[/B] (DrWEB: Adware.Dsc)[/LIST][/LIST]