Подхватил мой пк z-connect. Не исключаю наличие иных вирусов. Вся надежда на Вас, заранее спасибо.
Printable View
Подхватил мой пк z-connect. Не исключаю наличие иных вирусов. Вся надежда на Вас, заранее спасибо.
!! База поcледний раз обновлялась 21.08.2009 -- базы обновить..
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe','');
QuarantineFile('c:\windows\system32\wshost32.exe','');
QuarantineFile('c:\windows\ncdrive32.exe','');
DeleteFile('c:\windows\system32\wshost32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
Прислать карантин по Правилам.
Вирус не удалился. Вот логи:
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe','');
QuarantineFile('c:\windows\ncdrive32.exe','');
DeleteFile('c:\windows\ncdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\245.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\517.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\587.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\730.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\732.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\779.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\860.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5Q7YMCQ5\vs8[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Не помогает:(
Вот логи:
[B]Отключите восстановление системы[/B]
Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделать новые логи. Связь все так же прерывается? Или остался только значок соединения z-connect?
Пока все норм.
Дело в том, что у меня установлен еще один хдд с виндой на нем, правда я эту систему не использую(даже не знаю работает ли она). Может ли вирус "бэкапиться" с другого хдд?
Эту систему не жалко - могу без проблем отформатировать диск и переустановить, но данные на втором винте бесценны. Так что на нем вариант только лечение.
Порядок.
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL]
[B]"Порядок."[/B]
После последней перезагрузки аваст жалуется на "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl])
[B]"Установите SP3 (может потребоваться активация) + все новые заплатки"[/B]
Я так понял можно обойтись обновлением системы?
Спасибо за помощь.
Ах да - с подключением все впорядке уже около часа. Но такое тоже бывало...
Хм... Действительно
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\homrunsrv.dll','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
От z-connect'a мы избавились, за что Вам спасибо человеческое. Но вот "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl]) продолжает досаждать. Хотя никакого негативного влияния замечено не было, все же антивирус его удалить не может, и диалогове окно продолжает бесконечно оповещать о заразе.
Еще раз спасибо за помощь.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\homrunsrv.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
Все-таки продолжает сидеть какая то зараза. Прерывается аплоад; произвольно закрываются qip, download master; аваст негодует...
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\BtSrv.exe','');
QuarantineFile('c:\windows\system32\brchrunsrv.dll','');
DeleteFile('c:\windows\system32\brchrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BrchSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Все выполнил:
BtSrv.exe пришлите согласно приложению 2 правил...
Пардон, запамятовал. Машину еще не перезагружал, но судя по всему от вирусов избавились. Спасибо всем огромное, товарищи!
C:\WINDOWS\System32\BtSrv.exe-[B]Backdoor.Win32.Hupigon.ifxb [/B]
Выполните скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('BitSrv');
DeleteFile('C:\WINDOWS\System32\BtSrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('BitSrv');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Готово:
Чисто.