При включении или после обновления баз начинается ругаться на модифицированного траяна и очистка невозможна.
Логи:
Printable View
При включении или после обновления баз начинается ругаться на модифицированного траяна и очистка невозможна.
Логи:
Уважаемый(ая) [B]Vertogen[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('tdzug');
QuarantineFile('c:\DisableS3S4.cmd','');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'tdzug.log');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл tdzug.log из папки AVZ приложите в теме.
Файл выслал.
Лог:
Отключите Восстановление системы (Приложение 1 правил).
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
AddToLog(inttostr(BC_ServiceKill('tdzug')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.
Отключить восстановление системы не могу. Конфигурация отключена групповой политикой и добраться до редактора не могу. Через "выполнить" пробовал, не прошло. Я в этом дуб дубом. Что посоветуете?
Скрипт в AVZ можете выполнить?
Скрипт выполнил, но без отключения восстановления системы.
Логи:
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
[url]http://virusinfo.info/showthread.php?t=40118[/url]
и приложите его в теме.
Сделано.
Лог:
Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится zyqgdhco.exe (gmer)
[CODE]
zyqgdhco.exe -del file "C:\Windows\system32\pdlmur.dll"
zyqgdhco.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdzug"
zyqgdhco.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdzug"
zyqgdhco.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новый лог gmer.
Готово.
Лог:
1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]zyqgdhco.exe -del service tdzug
zyqgdhco.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdzug"
zyqgdhco.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]zyqgdhco.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [/b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]
[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!
Сделайте новый лог gmer
Сделано.
Лог:
Что с проблемой?
Nod продолжает ругаться. Gmer уже ничего не находит. Еще стоит MBAM и блокирует соединение с одним и тем же вредоносным сайтом.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Готово.
Лог:
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::
File::
Driver::
tdzug
NetSvc::
tdzug
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Готово.
Лог: