Вообщем продолжение лечения моих машинок!
теперь ноут!
тоже весь загаженный,здесь даже каспера не было!
не открывается свойства системы, не могу отключить восстановление системы-так не прокатит?
как посоветуете сделать?
Printable View
Вообщем продолжение лечения моих машинок!
теперь ноут!
тоже весь загаженный,здесь даже каспера не было!
не открывается свойства системы, не могу отключить восстановление системы-так не прокатит?
как посоветуете сделать?
Зоопарк впечатляет, давайте лечиться.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('ovwscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('c:\windows\system32\wininet.exe','');
QuarantineFile('c:\docume~1\toshiba\locals~1\temp\5260.exe','');
QuarantineFile('c:\windows\temp\1587839527.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\ovrscn.dll','');
DeleteFile(' C:\WINDOWS\system32\ovwscn.sys');
DeleteFile(' C:\WINDOWS\system32\qz.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\temp\1587839527.exe');
DeleteFile('c:\docume~1\toshiba\locals~1\temp\5260.exe');
DeleteFile('c:\windows\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
[B]PYRNIK[/B], А начать можно с "Восстановления системы" в AVZ
Там отметить п.п.5,6,9,11 и нажать "Выполнить".
Плюс выполнить скрипт Kuzz в Safe Mode без второй строчки.
ВВел скрипт, и пропали сетевые подключения!
зато появилась возможность войти в ствойства системы.
При запуске появлется windows unstaller!,который нельзя отменить!
Вообщем сейчас логи выложу по правилам!
Вообщем заново логи, а то я после исчезновения подключений че-то химичил пол ночи, мож че-то изменилось!
1 Карантин закачать.
Только после удачной закачки выполнить скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qz.dll','' );
QuarantineFile('c:\dell\bldbubg.exe','');
RebootWindows(true);
end.[/CODE]
Прислать, если что-то попадет в карантин.
закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
я правильно понял?
[quote=PYRNIK;120294]закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
я правильно понял?[/quote]
Если мой скрипт выполняли сегодня - то сегодняшнего, если выполняли вчера - то нужные файлы обозначены 03.07.07
Закачивать через ссылку [URL="http://virusinfo.info/upload_virus.php?tid=10802"]Прислать запрошенные файлы[/URL]
по моему я что-то сделал напрвильно!
потому, что сегодня скрипт не выполнял-просто взял все в папке на сегодняшний день.
Выполнить еще раз?
Повторно выполнять скрипты не надо.
Действительно Вы закачали не те файлы, запрошенные находятся в папке с вчерашней датой.
Откройте в AVZ "Файл"->"Просмотр карантина"
В папке 2007-07-03 выделите все файлы, заархивируйте и пришлите их.
Запрошенное [B]PavelA[/B],
C:\WINDOWS\system32\qz.dll - Backdoor.Win32.Haxdoor.kz
c:\dell\bldbubg.exe - не попал в карантин.
отправил!
Удачная охота ;)
C:\WINDOWS\system32\qz.dll - BackDoor.Haxdoor.440 (dr.web), Backdoor.Win32.Haxdoor.kz (Касперский)
Выполнить скрипт:
[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
не понял!
касперского и д. веба пока нет, решил что как вылечу так поставлю
[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Что-то нужно делать? или ждать?
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\qz.dll');
QuarantineFile('c:\dell\bldbubg.exe','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Если после перезагрузки в карантине что либо будет, пришлите по правилам.
Сделайте все логи снова.
Отправил карантин!
свеженькие логи!
Карантин пуст :( А в логах все файлы на месте.
'c:\dell\bldbubg.exe' - обновлялка оборудования ноута.
C:\WINDOWS\SYSTEM32\ovrscn.dll - никто не знает и удаляться не хочет.
Вывод:
Грузимся в Safe Mode.
Выполняем:
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
// DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
// QuarantineFile('c:\dell\bldbubg.exe','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
карантин присылаем, если будет не пустой (проверить AVZ -- Файл --Просмотр карантина).
а еще вылазит постоянно windows installer хочет что-то загрузить, можно ли это убрать?
[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
опять этот ovrscn.dll-может какой-то новый зверюга?:)
[size="1"][color="#666686"][B]Добавлено через 5 часов 50 минут[/B][/color][/size]
Добрался домой,поставил по для защиты, инет заработал все клево вроде!
Так что огромное СПАСИБО вам за помощь.
p.s. Не перевелись еще на Руси настоящие богатыри:)
[QUOTE='PYRNIK;120401']Не перевелись еще на Руси настоящие богатыри[/QUOTE] Не только на Руси. См. Drongo, Kuzz ;)
[QUOTE='PYRNIK;120401']опять этот ovrscn.dll-может какой-то новый зверюга?[/QUOTE]
А все-таки по теме: в карантин что-то попало. Интерес не праздный. В соседней теме тоже ищем такой же файлик. И надо разобраться с инсталлером - чего ему вдруг после наших манипуляций понадобилось.
Инсталеру,как мне кажется нужно установить китайский шрифт!
помню давно был на каком-то китайском сайте и там нужно было установить шрифт для правильного отображения!
не знаю как отменить его теперь постоянно при запуске ос или при запуске офиса выскакивает!
[quote=PavelA;120516]
А все-таки по теме: в карантин что-то попало. Интерес не праздный. В соседней теме тоже ищем такой же файлик. И надо разобраться с инсталлером - чего ему вдруг после наших манипуляций понадобилось.[/quote]
ovrscn.dll попал в первый карантин - вердикт: BackDoor.Haxdoor.440 (dr.web), Backdoor.Win32.Haxdoor.kz (Касперский)
В логах просматривается ovwscn.sys.
Выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('ovwscn.sys');
DeleteFile('ovrscn.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_DeleteSvc('ovwscn.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Решил антивирусником просканировать, уже 10 вирусняков нашел1
"[I]Решил[/I]"?... А пункты 1-2 правил перед созданием темы выполнялись или нет? Может, если б тогда решил, так и тема звучала бы несколько иначе. Например, "Проверьте, не осталось ли чего?" ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\toshiba\\locals~1\\temp\\5260.exe - [B]Trojan-Proxy.Win32.Small.fm[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\ovrscn.dll - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.440)[*] c:\\windows\\system32\\ovrscn.sys - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.454)[*] c:\\windows\\system32\\ovwscn.sys - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.440)[*] c:\\windows\\system32\\qz.dll - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.440)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.gp[/B] (DrWEB: Trojan.Swizzor)[*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: BackDoor.Dld.1163)[*] c:\\windows\\system32\\wininet.exe - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: Trojan.Proxy.1936)[*] c:\\windows\\temp\\1587839527.exe - [B]Trojan.Win32.Obfuscated.gp[/B] (DrWEB: Trojan.Proxy.1989)[*] c:\\windows\\userinit.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]