Здравствуйте! Вирусы атакуют держатся больше нету сил.Все сделал по вашей схеме диагностики помогите пожалуйста
Printable View
Здравствуйте! Вирусы атакуют держатся больше нету сил.Все сделал по вашей схеме диагностики помогите пожалуйста
Логи AVZ не по форме, перечитайте правила.
Да извиняюсь.Логи изменил
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\win7service.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\zvprogls.sys','');
DeleteService('zvprogls');
QuarantineFile('C:\WINDOWS\System32\Drivers\bgcwsbgf.sys','');
DeleteService('bgcwsbgf');
QuarantineFile('C:\WINDOWS\System32\Drivers\aulwparp.sys','');
DeleteService('aulwparp');
DeleteFile('C:\WINDOWS\System32\Drivers\aulwparp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bgcwsbgf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zvprogls.sys');
QuarantineFile('F:\RECYCLER\S-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xtgtonrx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wpvlikbh.sys','');
DeleteService('xtgtonrx');
DeleteService('wpvlikbh');
QuarantineFile('C:\WINDOWS\System32\Drivers\remisxlt.sys','');
DeleteService('remisxlt');
QuarantineFile('C:\WINDOWS\System32\Drivers\lgtexphn.sys','');
DeleteService('lgtexphn');
QuarantineFile('C:\WINDOWS\System32\Drivers\hieqbzyn.sys','');
DeleteService('hieqbzyn');
QuarantineFile('C:\WINDOWS\System32\Drivers\fwvvxjdm.sys','');
DeleteService('fwvvxjdm');
QuarantineFile('C:\WINDOWS\System32\Drivers\dixudsvq.sys','');
DeleteService('dixudsvq');
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\dixudsvq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fwvvxjdm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hieqbzyn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lgtexphn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\remisxlt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wpvlikbh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xtgtonrx.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\Documents and Settings\Администратор\hywcyx.exe');
DeleteFile('F:\RECYCLER\S-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('dixudsvq');
BC_DeleteSvc('fwvvxjdm');
BC_DeleteSvc('hieqbzyn');
BC_DeleteSvc('lgtexphn');
BC_DeleteSvc('xtgtonrx');
BC_DeleteSvc('wpvlikbh');
BC_DeleteSvc('remisxlt');
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Пофиксите:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
[/code]
Повторите логи.
avast отключать?
[QUOTE=NemecFD;456692]avast отключать?[/QUOTE]Если проблема с отключением - удалите его. Он сейчас все равно уже бесполезен.
скажите пожалуйста что значит <пофиксить>
[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить"?[/URL]
Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
Что-то непонятно?
[B]NemecFD[/B], если этих строчек не можете найти, то это нормально, делайте новые логи.
логи повторил
Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\NetworkService\mcg.exe \s[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\mcg.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\mcg.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\zwmmbsdl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wzzfnuyo.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wukoreps.sys','');
DeleteService('zwmmbsdl');
DeleteService('wzzfnuyo');
DeleteService('wukoreps');
QuarantineFile('C:\WINDOWS\System32\Drivers\uxsbfcwb.sys','');
DeleteService('uxsbfcwb');
QuarantineFile('C:\WINDOWS\System32\Drivers\eqoooxyk.sys','');
DeleteService('eqoooxyk');
TerminateProcessByName('c:\windows\win7service.exe');
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\dll32.exe');
QuarantineFile('c:\dll32.exe','');
DeleteFile('c:\dll32.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\eqoooxyk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uxsbfcwb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wukoreps.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wzzfnuyo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zwmmbsdl.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + отчет утилиты GSI
я понял что такое профиксить! HiJack после кода:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
Avast вирусов не находит! Идут только атаки с адресов он их блокирует.Пока все нормально. Огромное спасибо всем!
А где остальные логи и запрашиваемый отчет?
AVZ-syscure zip не отобразился
Ребята я кажется запутался . Помогите. Буду четко следовать вашим инструкциям
Отчет и лог AVZ сделаны с ошибкой
Мне повторить этот процесс?
Только это
[QUOTE='thyrex;456759']Сделайте новые логи + отчет утилиты GSI[/QUOTE]