Можно ли убить это, не снося систему? скрипты прикладываю.
Printable View
Можно ли убить это, не снося систему? скрипты прикладываю.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wglsp.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил
В дополнение к скрипту от Bratez-а выполните следующий скрипт - [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
BC_QrSvc('msupdate');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После выполнения скриптов (и первого, и второго_, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10346[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
Спасибо!!! прогнал двумя антивирами, все чисто. Еще раз спасибо!
Подождите, посмотрим карантин, возможно это еще не все.
Ок. тогда жду Ваших рекомендаций. Карантин высылал поочереди, после первого выполнения скрипта, затем после второго. А какова вероятность, что этот вирус может скакать по локалке? и есть ли она вообще?
А пока выполните еще такой скрипт:
[code]
begin
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\
[/code]
и сделайте новые логи для контроля.
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=158331[/url]
- Описание. Если его кто-то другой не распространяет, то думаю сам по локалке бегать не будет.
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
Этой строки нет. Скрипт в AVZ ваполнен без ошибок.
Забыл приложить лог
не могу прикрепить. пишет, некорректный файл.
[QUOTE]пишет, некорректный файл.[/QUOTE]
Какой именно?
hijackthis
Заархивируйте его в zip или rar.
не хочет прикрепляться. может стоит заново сделать скрипты?
Попробуйте удалить старые логи.
ConnectionServices.dll - [B]AdWare.Win32.BHO.cc[/B]
выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи.
выполнил. скрип выполнен успешно.
После выполнения скрипта
Профиксить:
[CODE]O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm451YYRU
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
[/CODE]
Что-то похоже новенькое появилось. :( Грустно это.
Надо установить в AVZ AVZPM. Перезагрузиться. Сделать новые логи.
Плюс скачать [url]http://xen.name/XenAntiSpyware_setup.exe[/url] (~900 kb)
Установить и сделать лог.
Угу. И попутно вопросы: Comodo firewall и Spyware doctor вы сами поставили уже в процессе лечения? Если да, то Sygate firewall вы оставили, или удалили?
Да, вы правы, Comodo firewall и Spyware doctor поставлены самостоятельно. Sygate firewall на компьютере нет.
прогнал систему несколько раз. ничего не обнаружилось... наверное, все же наконец-то умер бэкдур. Спасибо всем!
Вопросик напоследок: CleanMonitor сами ставили? Не затирает ли он следы зловредов, а?
нет сисадмин повесил. говорит, типа полезная вещь... считаете, стоит убить?
Вещь то, наверное, полезная, но, на всякий пожарный, поместите его в карантин и пришлите. Не нравятся мне такие поделки.
как его туда посадить?
кстати, AVZ регулярно заносит в карантин Spyware Doctor.
в AVZ поиск файла на диске -- как найдется, давим добавить в карантин.
Затем заходим в просмотр карантина , выделяем файлик, нажимаем кнопочку с дискеткой. Получается в папке Quarantine virus.zip
Закачиваем сюда, ссылка вверху темы.
Или по-другому: см. Приложение Правил 2.
[quote=viper;115889]как его туда посадить?[/quote]
Приложение правил #2 :P
сделал. в карантине чисто.
вернее, только Spyware Doctor сидит.
Сегодняшний карантин смотрел?
По всем канонам должен был добавить. В логах АВЗ в безопасных не числиться.
Тогда, если не в тягость, выполни скрипт. Только сделать это нужно в Safe Mode.
[CODE]begin
QuarantineFile('D:\cleanmon\CleanMonitor.exe','');
end.[/CODE]
поздно. сисадмин решил проблему кардинально. убил его. в общем-то наверное правильно, если глючит программка, да и проблемы из-за нее... сейчас вышлю нове скрипты.
последние скрипты
Профиксить, чтобы убить окончательно.
O4 - HKCU\..\Run: [CleanMonitor] D:\cleanmon\CleanMonitor.exe
ок. добил. система вроде чистая. большое спасибо за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.a[/B][/LIST][/LIST]