В стандартном режиме комп перезагружается, сделал в безопасном.
Printable View
В стандартном режиме комп перезагружается, сделал в безопасном.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
QuarantineFile('C:\WINDOWS\system32\oriieke7a136a3e.sys','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15989[/url]
Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com
[quote=wise-wistful;167397]
Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com[/quote]
Карантин загружен.
Что за hots-файл? никуда ничего не добавлял.
раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
попробуйте сделать логи в обычном режиме.
[quote=wise-wistful;167414]раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
попробуйте сделать логи в обычном режиме.[/quote]
В стандартном режиме так и не выполняются стандартные скрипты, комп перезагружается, что делать?
C:\WINDOWS\system32\oriieke7a136a3e.sys - вирус Email-Worm.Win32.Zhelatin.qb
C:\WINDOWS\mrofinu27.exe - троянская программа Trojan-Downloader.Win32.Agent.gwh
Выполните в АВЗ ...
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\oriieke7a136a3e.sys');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Профиксите ..
[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Электротех& #1085;ика\Application Data\Mra\Update\mrasearch.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe[/CODE]
Скрипт выполнил, пофиксил, эти 4 строчки исчезли, но опять при выполнении стандартного скрипта в авз комп перезагружается
отключите аутпост и антивирус ... и сделайте новые логи ...
[quote=V_Bond;167440]отключите аутпост и антивирус ... и сделайте новые логи ...[/quote]
сделал
отключите аутпост и антивирус
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Taf40');
BC_DeleteSvc('ip6fw');
BC_DeleteSvc('Lvst79');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
Все сделал
все на месте ... попробуйте выполнить скрипт в safe mode ....
[quote=V_Bond;167483]отключите аутпост и антивирус
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Taf40');
BC_DeleteSvc('ip6fw');
BC_DeleteSvc('Lvst79');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..[/quote]
эти два?
Да попробуйте оба и потом повторите логи.
сделал
уже чище ...
пришлите свежий карантин ....
[quote=V_Bond;167928]уже чище ...
пришлите свежий карантин ....[/quote]
сохранил
кто-нибудь из helper'ов смотрел карантин?
выполните в АВЗ
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\taskmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
загрузите карантин по правилам.
профиксите ...
[CODE]O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe[/CODE]
Похоже Trojan.Patched.AU (BitDefender)
svchost.exe не прошел по базе безопасных
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
У вас есть установочный диск? (переустанавливать ничего не надо!)