Printable View
Опять свежачок поймали ;)
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
QuarantineFile('C:\WINDOWS\s1428w32.dll','');
QuarantineFile('c:\windows\tcpsvcs32.exe','');
DeleteFile('c:\windows\tcpsvcs32.exe');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки карантинчег - в студию :)
У меня при запуске windows потоянно лезет табличка tcpsvcs32.exe, как ее удалить?
новые логи где ?
Зачем логи? я удалил DeleteFile('c:\windows\tcpsvcs32.exe');
вот картинка
Пришлите карантин после скрипта из сообщения #41 и сделайте свежий комплект логов по правилам, а то ваше дело еще 2 недели тянуться будет.
я же вам присылал карантин(нажал вверху Прислать запрошенные файлы)
вот логи
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe tcpsvcs32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\msqgvqg.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\msqgvqg.dll','');
DeleteFile('C:\WINDOWS\system32\msqgvqg.dll');
DeleteFile('C:\WINDOWS\system32\vtr.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\nibble.exe');
DeleteFile('C:\WINDOWS\s1428w32.dll');
BC_ImportALL;
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Вот что у вас детектировалось:
nibble.exe - [b]Backdoor.Win32.Agent.bxt[/b]
msindeo.dll - [b]Trojan-Spy.Win32.Goldun.si[/b]
s1428w32.dll - [b]Trojan-Spy.Win32.Small.ic[/b]
tcpsvcs32.exe - [b]Trojan-PSW.Win32.LdPinch.dwn[/b]
Посмотрим, что на сей раз пришлете.
Что-то они на вашем компе как мухи плодятся. Интересно, у вас НОД обновляется или так для мебели стоит? Кстати, базам AVZ тоже две недели уже, надо обновить.
После указанных процедур логи сделайте еще раз.
Пофиксить в HijackThis не получается, нажимаю
Delete an NT Service и втавляю строку, пишит was not found
какая строка не фиксится ?
выполняйте скрипт .... делайте новые логи ....
[quote]нажимаю Delete an NT Service и втавляю строку[/quote]
Нужно всего лишь отметить указанные строки галками и нажать Fix Checked.
Сделал
У меня опять Explorer качает!!!
Nod32 обновил, все равно не справляется, какой антивирус(чтобы хорошо ловил) вы бы мне посоветовали?
Логи:
выполните скрипт....
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи....
Похоже вы перепутали карантин ;)Там вирус , который уже был удалён ранее-nibble.exe - Backdoor.Win32.Agent.bxt (kaspersky)
У меня опять вирусы, в инет постоянно что-то отправляют
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\FDCDNT.SYS','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил.
пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
У меня появились такие вирусы, что я в папку не могу войти
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\dpseria.dll','');
QuarantineFile('\SystemRoot\system32\drivers\klpbethp.dat','');
QuarantineFile('klpbethp.dat','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Посмотрите последние логи вверху, у меня постоянно вылезает эта табличка и пишет ваш диск заполнен или скачайте обновление
из попавших в карантин ...
C:\WINDOWS\system32\dpseria.dll -[B]Trojan-Spy.Win32.BZub.Btx[/B]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\dpseria.dll');
DeleteFile('\SystemRoot\system32\drivers\klpbethp.dat');
BC_ImportDeletedList;
BC_DeleteSvc('kxyswutd');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...