C:\WINDOWS\system32\DRIVERS\tcpip.sys - чистый (по вирус тотал)
C:\WINDOWS\system32\sfc_os.dll - чистый
tlhelp32.exe - попробуйте поискать через AVZ -сервис-поиск файлов на диске ....
Printable View
C:\WINDOWS\system32\DRIVERS\tcpip.sys - чистый (по вирус тотал)
C:\WINDOWS\system32\sfc_os.dll - чистый
tlhelp32.exe - попробуйте поискать через AVZ -сервис-поиск файлов на диске ....
Спасибо большое
tlhelp32.exe - AVZ не нашел этого файла
Здравствуйте. Посмотрите пожалуйста
пофиксите ...
[code]
O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstub.dll (file missing)
O2 - BHO: (no name) - {F5BDE91A-2333-4DD0-BCDE-6D912BBD9904} - C:\WINDOWS\system32\iasacc.dll (file missing)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
[/code]
выполните скрипт ....
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\msstub.dll','');
QuarantineFile('C:\WINDOWS\system32\iasacc.dll','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('yvdovndg.dat','');
QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys','');
DeleteFile('yvdovndg.dat');
DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\iasacc.dll');
DeleteFile('C:\WINDOWS\system32\msstub.dll');
BC_DeleteSvc('cjzgueyb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи....
Карантин выслал. Не пофиксилось:
O2 - BHO: (no name) - {F5BDE91A-2333-4DD0-BCDE-6D912BBD9904} - C:\WINDOWS\system32\iasacc.dll (file missing)
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Последние два - 020 и раньше не фиксились
сделайте новые логи ...
Логи
отключите антивирус ...
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('yvdovndg.dat');
DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\iasacc.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DelCLSID('F5BDE91A-2333-4DD0-BCDE-6D912BBD9904');
BC_DeleteSvc('cjzgueyb');
BC_DeleteSvc('runtime');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Ошибки загрузки [B]virusinfo_syscure.zip[/B]:
3.4 Кбайт превысил(а) предел на форуме. [URL="http://virusinfo.info/misc.php?do=attachments"]Нажмите здесь для просмотра ваших вложений[/URL]
Что делать?
Нажать на ссылку и удалить старые вложения
Логи
Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксьте:
[code]O2 - BHO: (no name) - {F5BDE91A-2333-4DD0-BCDE-6D912BBD9904} - C:\WINDOWS\system32\iasacc.dll (file missing)
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/code]
Скрипт выполнил
Не пофиксилось:
O2 - BHO: (no name) - {F5BDE91A-2333-4DD0-BCDE-6D912BBD9904} - C:\WINDOWS\system32\iasacc.dll (file missing)
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('cjzgueyb');
BC_DeleteFile(C:\WINDOWS\system32\drivers\yvdovndg.dat');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Скрипт выполнил, хотя в скрипте не точность - (C:\WINDOWS\
Доп. лог сделал
отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\qqd.sys','');
QuarantineFile('asc3550u.sys','');
QuarantineFile('C:\fwdrv.sys','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
BC_DeleteFile('C:\qqd.sys');
BC_DeleteSvc('cjzgueyb');
BC_DeleteSvc('asc3550u');
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('ctl_w32');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите последний лог ...
Папка карантина пуста. Высылаю лог
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('FCI.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\FCI.sys','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('yvdovndg');
BC_DeleteFile('C:\qqd.sys');
BC_QrSvc('FCI');
BC_DeleteSvc('cjzgueyb');
BC_DeleteSvc('qqd');
BC_DeleteSvc('fwdrv');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите последний лог....
Это результат действия скрипта
Ошибка карантина файла, попытка прямого чтения (FCI.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (FCI.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\FCI.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\FCI.sys)
Карантин с использованием прямого чтения - ошибка
давайте карантин и новый лог ....
Папка карантина пуста, я думаю из-за этих ошибок
Сделайте заново последний лог,посмотрим, что осталось.
Новые логи
пофиксите ...
[code]
O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstub.dll (file missing)
O2 - BHO: (no name) - {F5BDE91A-2333-4DD0-BCDE-6D912BBD9904} - C:\WINDOWS\system32\iasacc.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteFile('C:\qqd.sys');
BC_DeleteSvc('cjzgueyb');
BC_DeleteSvc('qqd');
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('FCI');
RebootWindows(true);
end.
[/code]
повторите логи ....
Логи
iasacc.dll - не фикситься
чудес на свете не бывает .... выполните указания из поста 144 в safe mode ....
повторите логи ....
Гляньте пожалуйста
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Mqt4', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\iasacc.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\yvdovndg.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mqt47.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('c:\windows\system32\cssrss.exe','');
DeleteFile('c:\windows\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Mqt47.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\system32\drivers\yvdovndg.dat');
DeleteFile('C:\WINDOWS\system32\iasacc.dll');
BC_DeleteSvc('cjzgueyb');
BC_DeleteSvc('qqd');
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Mqt47');
BC_DeleteSvc('msupdate');
DelBHO('F5BDE91A-2333-4DD0-BCDE-6D912BBD9904');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи...
Логи
отключите обязательно, антивирус и фаервол ....
віполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\qqd.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Mqt47.sys');
DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('qqd.sys');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('Mqt47');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи....
OlegXON, при следующем обращении, пожалуйста, открывайте новую тему, ок?
Логи
[quote=anton_dr;163494]OlegXON, при следующем обращении, пожалуйста, открывайте новую тему, ок?[/quote]
Хорошо
отключите обязательно, антивирус и фаервол ....
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Mqt47', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Mqt47.sys','');
QuarantineFile('C:\Program Files\Webshots\Launcher.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\Mqt47.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Лог
C:\Program Files\Webshots\Launcher.exe - по вирустотал чист ...
какая у вас версия антивируса ?
Dr.Web
Ядро 4.44.0.09170 2007-09-17
Сканер 4.44.0.09140 2007-09-14
Вирусная база всего 2007-12-21 (14:39) 280230
C:\WINDOWS\system32\Drivers\Mqt47.sys - попробуйте найти и прислать по правилам .... ( лучше всего ... это сделать загрузившись с СD,если есть такая возможность )
[quote=V_Bond;163516]C:\WINDOWS\system32\Drivers\Mqt47.sys - попробуйте найти и прислать по правилам .... ( лучше всего ... это сделать загрузившись с СD,если есть такая возможность )[/quote]
Загрузиться с СD нет возможности
попробуйте поискать файл ..... при помощи AVZ(вдруг повезет ) и отправить нам на рассмотрение ...