Мда... ну значит до завтра ))))
Printable View
Мда... ну значит до завтра ))))
Вот лог ГМЕРа
я оттяну на 2-3 часа ... будут идеи пишите.... потом реинстал системы но надеюсь до етого не дойдёт ;)
Перед тем, как Вы начнете с переустановкой ;) - последний скрипт
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\cpqui.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\cpqui.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
можно я добавлю в карантин исчо один файлик?
он гад клонирует себя во все расшаренные по сети папки....
[QUOTE=BoozyWoozy;393996]можно я добавлю в карантин ....[/QUOTE]Нужно :)
вот всё сделал....
У меня такое впечатление, что мы в решете воду носить пытаемся...
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ClipSrv');
StopService('xmqmawo');
QuarantineFile('C:\WINDOWS\system32\Drivers\cpqui.sys','');
QuarantineFile('C:\WINDOWS\java\classes\ccwinlogins.exe','');
QuarantineFile('C:\WINDOWS\java\classes\classes.sys','');
DeleteFile('C:\WINDOWS\java\classes\classes.sys');
DeleteFile('C:\WINDOWS\java\classes\ccwinlogins.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\cpqui.sys');
DeleteFile('C:\WINDOWS\system32\drivers\TXPlatformm.exe');
DeleteService('xmqmawo');
DeleteService('ClipSrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xmqmawo');
BC_DeleteSvc('ClipSrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки повторите скрипт в безопасном режиме.
После перезагрузки:
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
- Включите Антвирус и Файрволл
издеваетесь? я бы с радостью если бы хоть один антивирь работал.........
по поводу Фиксов.... второй строчки при скане не обнаруженно......
первую профиксил успешно ... при повторном скане необнаружилась.....
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
немогу залить логи..... пишет превышен размер на форуме
[QUOTE=BoozyWoozy;394076]
немогу залить логи..... пишет превышен размер на форуме[/QUOTE][url]http://virusinfo.info/profile.php?do=editattachments[/url] удалите самые старые вложения.
фух... разобрался вот логи и карантин
процесс TXPlatformm.exe по прежнему присутствует в диспечере...
Почитайте, это интересно: [url]http://www.threatexpert.com/report.aspx?md5=5690da8deb570d03bcac24188a5fa689[/url]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\txplatformm.exe');
DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
BC_DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
вот логи...
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatformm.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
BC_DeleteSvc('ClipSrv');
BC_DeleteFile('C:\WINDOWS\java\classes\classes.sys');
BC_DeleteFile('C:\WINDOWS\java\classes\ccwinlogins.exe');
BC_DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
[QUOTE=Rene-gad;394033]У меня такое впечатление, что мы в решете воду носить пытаемся...[/QUOTE]
Естественно, потому как файловый паразитический вирус вы и не начинали лечить...
Скачайте курит через пол часика, ваш зверёк должен определяться как Win32.HLLP.Whboy.111 и лечиться.
но зато сколько свежайшего выцеплено... вероятно тема будет лидером по количеству в отчётах киберхелпера.
)))) этот фикс делаю каждый раз как делаю скан .....
логи через мин 20 ибо работает AVP tool......
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
[QUOTE=Shu_b;394188]Естественно, потому как файловый паразитический вирус вы и не начинали лечить...
Скачайте курит через пол часика, ваш зверёк должен определяться как Win32.HLLP.Whboy.111 и лечиться.
но зато сколько свежайшего выцеплено... вероятно тема будет лидером по количеству в отчётах киберхелпера.[/QUOTE]
он у меня почти так и определялся... см.тему..... а вот насчет лечения (и в безобасном и вс ливСД никак ((( )
но за совет спасибо ибо моё терпение зеенд... если сёдня ничо не выйдет то формамт С: .....
[QUOTE=BoozyWoozy;394189]он у меня почти так и определялся... см.тему..... [/QUOTE]
почти, да не так. Повтоюсь ещё раз, алгоритм лечения только добавлен.
до этого срабатывала своего рода эвристика, которая не знает как лечить данный тип заразы.
[QUOTE=Shu_b;394207]почти, да не так. Повтоюсь ещё раз, алгоритм лечения только добавлен.
до этого срабатывала своего рода эвристика, которая не знает как лечить данный тип заразы.[/QUOTE]
Обязательно после АВЗ сделаю проверку КУИТом и потом уж скрипт и логи.....
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
но зато сколько свежайшего выцеплено...
))))) я рад что мы смогли помочь друг другу ;)
[QUOTE=Shu_b;394188]Естественно, потому как файловый паразитический вирус вы и не начинали лечить.[/QUOTE]Почему же, сэр, начинали :>
[QUOTE]пробовал зопасном режиме и с ливСД .[/QUOTE]
описанного выше эфекта от Курит не получилось (((
вот логи.... добавил на всяк случай лог из АВПтул....