Помогите победить заразу. При запуске DrWeb он его в памяти блокирует. но при повторном запуске опять находит. Как убрать его совсем.
Прилагшаю логи. Вроде выполнил как было в правилах написано.
Printable View
Помогите победить заразу. При запуске DrWeb он его в памяти блокирует. но при повторном запуске опять находит. Как убрать его совсем.
Прилагшаю логи. Вроде выполнил как было в правилах написано.
Выполните скрипт в AVZ:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
QuarantineFile('C:\WINDOWS\system32\CmUCReye.exe','');
BC_ImportALL;
BC_QrSvc('runtime2');
BC_QrSvc('msdvdr');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('msdvdr');
BC_DeleteFile('C:\WINDOWS\system32\msdvdr.pif');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Observer.BrowserMonitor - {0cd00297-9a19-4698-aef1-682fbe9fe88d} - mscoree.dll (file missing)
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - (no file)
O2 - BHO: Flash Module - {C87FA4A3-2474-4a3f-B413-67D515905024} - rasmoesa.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
O20 - Winlogon Notify: winwgz32 - winwgz32.dll (file missing)
[/code]
Профиксить в hijackthis:
[CODE]
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
O20 - Winlogon Notify: winwgz32 - winwgz32.dll (file missing)[/CODE]
Скрипт выполнил, пофиксил. Карантин прислал.
Сейчас после загрузки ругается DrWeb: C:\Windows\system32\msdvr.sys - болен BackDoor.HackDef.178
Логи AVZ и Hijackthis повторите, пожалуйста.
CmUCReye.exe - [b]Trojan.Win32.Dialer.xs[/b] (свежак!)
Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\CmUCReye.exe');
BC_DeleteFile('C:\WINDOWS\system32\CmUCReye.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После этого новые логи - в студию.
Упс. Вот это не выполнил^
>CmUCReye.exe - Trojan.Win32.Dialer.xs (свежак!)
>Выполните скрипт в AVZ:
У меня очень долго делается скрипт лечения/карантина. Почти часа 2.
Логи все сделались. Но я не выполнил что написали выше.
Логи выложить, или сначала выполнить скрипт, а потом новые логи делать?
Выкладывайте, что сделали, может еще что добавим.
Вот логи без выполнения скрипта для: > CmUCReye.exe - Trojan.Win32.Dialer.xs (свежак!)
Все нормально. Выполняйте скрипт из сообщения #6 и посмотрите, что нужно / не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Ненужное отключим для профилактики.
Выполнил скрипт из сообщения #6
После перезагрузки опять ругается DrWeb: C:\Windows\system32\msdvr.sys - болен BackDoor.HackDef.[B]178[/B]
Из сообщения #10 посмотрел список, что-то выключил, что-то заблокировал.
Что делать? Опять логи?
И нормально ли, что скрипт лечения/карантина делается более 1,5 часа?
Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта [url]http://download.drweb.com/win[/url] и установите.
C:\Windows\system32\msdvr.sys в логах не светится.
Сделайте дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
только в обычном режиме.
[QUOTE=AndreyKa;152996]Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта [url]http://download.drweb.com/win[/url] и установите.[/QUOTE]
А ключа то на него нового лицензионного нет. Поэтому не могу. Обновления у меня последние от вчерашнего числа (версия веба 4,33). Базы ставил вручную.
[quote]И нормально ли, что скрипт лечения/карантина делается более 1,5 часа?[/quote]
Обычно быстрее. Очистите папку временных файлов Windows и временные файлы Internet Explorer.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[quote]А ключа то на него нового лицензионного нет.[/quote]
Тогда качайте CuteIt.
[url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url]
И делайте полную проверку компьютера.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Ключ от 4.33 должен подходить к 4.44, если он не пиратский.
[QUOTE=Bratez;152998]C:\Windows\system32\msdvr.sys в логах не светится.
Сделайте дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
только в обычном режиме.[/QUOTE]
Сделал. Прикрепил лог
Ничего, кроме пары следов от ранее удаленных зловредов.
Выполните скрипт:
[code]
begin
BC_DeleteSvc('ati2psag');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
А [b]C:\Windows\system32\msdvr.sys [/b] можно просто удалить руками...
Выполнил сообшение #17, кроме вручную удалить msdvr.sys.
Веб вроде не ругается. При запуске, когда он просто проверяет (не вручную когда задаешь что сканить) тоже ничего не находит.
Для полной уверенности сделать еще раз логи?
Пришлите этот файлик по правилам
Сделайте, только обновите базы AVZ предварительно.