avz_syscheck
Printable View
avz_syscheck
[QUOTE=thyrex;632708]Лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] сделайте[/QUOTE]
Сделайте лог
Логи Gmer:)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\ndvot.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]8o65rpi6.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
8o65rpi6.exe -del service hpozdyu
8o65rpi6.exe -del service wopvqb
8o65rpi6.exe -del file "D:\WINDOWS\system32\ndvot.dll"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb"
8o65rpi6.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
После перезагрузки компьютера
Эти команды не выполнились т.к изменились пути.
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb"
После удаления "D:\WINDOWS\system32\ndvot.dll", он опять появился
- Сделайте новый лог Gmer
Новые логи.
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]8o65rpi6.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
8o65rpi6.exe -del service pnrciwbi
8o65rpi6.exe -del service qijicx
8o65rpi6.exe -del file "D:\WINDOWS\system32\ndvot.dll",
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx \Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx "
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx"
8o65rpi6.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
Когда Gmer запускает эти строки, выдает ошибку -"Не найдет указанный модуль"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx \Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx "
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx"
И вообще это борьба со следствием, а не с причиной!!!!
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('pnrciwbi');
BC_ServiceKill('qijicx');
BC_Activate;
Rebootwindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте лог virusinfo_syscheck.zip;
Результата не будет, пока не будет обновлена система
Если последний скрипт не поможет, сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Лог
[QUOTE=thyrex;633062]Результата не будет, пока не будет обновлена система
Если последний скрипт не поможет, сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url][/QUOTE]
Я обновил все.
-поставил sp3
-обновил ие8
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\docume~1\july\locals~1\temp\014.exe');
TerminateProcessByName('d:\windows\jjdrive32.exe');
TerminateProcessByName('d:\windows\system32\scdll.exe');
QuarantineFile('d:\docume~1\july\locals~1\temp\014.exe','');
QuarantineFile('d:\windows\system32\scdll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('D:\WINDOWS\jjdrive32.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-4151255191-5183613956-369927174-6534\playncr.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-4151255191-5183613956-369927174-6534\playncr.exe');
DeleteFile('D:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('d:\windows\system32\scdll.exe');
DeleteFile('d:\docume~1\july\locals~1\temp\014.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Комбофикс я запустил, но консоль не ставил
Свежие логи после комбофикса.
НЕ ПОМОГЛО !!! сайты не запускаются
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
d:\windows\system32\UrUXNYb.exe
d:\windows\system32\t6YTwvZ.exe
d:\windows\system32\CTOxzct.exe
d:\windows\system32\LIg0dGg.exe
d:\windows\system32\GkZrslm.exe
d:\windows\system32\Gekn2oI.exe
d:\windows\system32\bcb3xWh.exe
d:\windows\system32\renKvxR.exe
d:\windows\system32\mcdvLv2.exe
d:\windows\system32\sb3KfrQ.exe
d:\windows\system32\xiIsrZF.exe
d:\windows\system32\6ezs26G.exe
d:\windows\system32\ndvot.dll
c:\files\REMOVED\BEST.exe
Driver::
wopvqb
hpozdyu
qijicx
pnrciwbi
msiaft
NetSvc::
wopvqb
hpozdyu
qijicx
pnrciwbi
msiaft
Folder::
c:\files
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8387:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-01WE-AAX5-314CCA324242}]
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Новый лог:094:
что мне дальше делать?
***полетели стулья***