Printable View
началось с того, что отключился сканер на DrWeb. При этом брандмауэр постоянно выдавал сообщения. Попробовал переустановить DrWeb Еще хуже - отключились все службы кроме брандмауэра, который постоянно сигнализирует. Если нажать на вкладку , которую он выдает, компьютер перезагружается.
Удалось собрать только [B]virusinfo_syscure.zip . Остальные пункты не выполняются. Отказывает в доступе. Переименование не помогает. Помогите пожалуйста.
С уважением и заранее с благодарностью.
[/B]
Уважаемый(ая) [B]map1998[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\642122188:872331737.exe:$DATA','');
QuarantineFile('c:\windows\642122188:872331737.exe','');
QuarantineFile('c:\windows\system32\nzdvyul.dll','');
QuarantineFile('C:\Documents and Settings\андрей\Local Settings\Application Data\cc014626\X','');
DeleteFile('C:\Documents and Settings\андрей\Local Settings\Application Data\cc014626\X');
DeleteFile('c:\windows\system32\nzdvyul.dll');
DeleteFile('c:\windows\642122188:872331737.exe');
DeleteFile('c:\windows\642122188:872331737.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=111457[/url]).
Сделайте новые логи.
Все сделал, карантин загрузил по ссылке, вот его данные(не знаю, нужно ли это Вам)
Файл сохранён как 111023_075022_virus_4ea3c73ec5874.zip
Загрузил новый AVZ ( старый не отвечает), переименовал и запустил - запустился. посылаю virusinfo_syscure.zip
второй не получается - avz запускается, но тут же прерывается и файл в папке LOG не появляется.
В Hjack не пускает - "отказано в доступе"
Спасибо, с нетерпением жду указаний.
Выполните скрипт в AVZ [B]в безопасном режиме[/B]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(6);
DeleteFile('c:\windows\642122188:872331737.exe:$DATA');
DeleteFile('c:\windows\642122188:872331737.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
В безопасном режиме AVZ отказал в доступе. Пришлось еще раз разархивировать . Тогда получилось. Однако , все равно удается только первый файл собрать, остальные - все тоже. Выполнение обрывается без последствий.
Лог TDSSkiller сделайте
Сделал TDSSkiller 2 объекта по запросу отправил в карантин (надо было удалить?)
почему то лога два. посылаю оба.
Спасибо. жду с нетерпением ответа.
Один лог февральский прислали
[quote="map1998;836042"]надо было удалить?[/quote]Да, удалите и пришлите новый лог
сделал, присылаю.
ау..., извините..
Что с проблемой?
все то же - отказывает в доступе к AVZ и HJ
Скачайте утилиты заново и попробуйте запустить
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
ок, спасибо, начну через пол-часа
[size="1"][color="#666686"][B][I]Добавлено через 1 час 57 минут[/I][/B][/color][/size]
скачал AVZ второй лог все равно не получается - прерывается работа .
HJ удалил предыдущий через панель управления - установка удаление программ. скачал новый., но он не устанавливается, вылезает ошибка.
делать Combofix ?
[quote="map1998;836171"]делать Combofix[/quote]Да, делать
готово, сделал. посылаю лог.
жду указаний
1. Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\c_47426.nl_','');
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost', 'DcomLaunch', 'REG_MULTI_SZ', 'DcomLaunch'#0'TermService');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
Driver::
Folder::
c:\documents and settings\андрей\Local Settings\Application Data\cc014626
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
4. Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B], выложите на обменник и пришлите ссылку мне в личные сообщения
1.-2. скрипт AVZ сделал, вот карантин
Файл сохранён как 111024_201858_virus_4ea5c8324a43c.zip
Размер файла 127222
MD5 b5ba10430e4f7d178c019f7db92a67bb
3. готово. посылаю . забыл сказать, что combofix выдавал оповещение, что у меня установлен DrWeb, хотя я его удалил, как мог.
4. приступаю.
спасибо.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::
File::
c:\windows\system32\c_47426.nl_
Driver::
Folder::
c:\documents and settings\андрей\Local Settings\Application Data\cc014626
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
4. отправил
жду дальнейших указаний. Уже на завтра.
спасибо Вам большое.
Смотрите сообщение над Вашим
сейчас пришлю еще отчет ComboFix.txt
И проверьте теперь запуcк AVZ и HiJack
посылаю очередной combofix
AVZ делает второй лог !
HiJack не хочет инстолироваться..
спасибо, жду указаний на завтра
Папку c:\documents and settings\андрей\Local Settings\Application Data\cc014626 (она скрытая, системная), запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в ПМ
После этого папку удалите вручную
указанную Вами папку нашел только по поиску. В каталоге она отсутствовала.удаляться не хотела. Но все же в итоге удалилась. Извиняюсь за путанность изложения. Так или иначе, в указанном месте теперь ее нет. осталась в карантине.
[size="1"][color="#666686"][B][I]Добавлено через 19 секунд[/I][/B][/color][/size]
жду указаний
Что сейчас с проблемой?
Все, я готов.
При попытке инсталлировать HJ выдает:
The installer has insufficient privileges to modify this file C:\Program files\Trend Micro\HiJackThis\HiJackThis.exe
Антивирус работает?
удалил HJ найдя его через поиск. После этого инсталлируется!
Сейчас попробую снять стандартные логи и пришлю.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
антивирус еще даже не пытался загружать, я ж его удалил в итоге...попробовать? или сначала логи?
[quote="map1998;836472"]антивирус еще даже не пытался загружать, я ж его удалил в итоге...попробовать?[/quote]Конечно
сделал логи, посылаю.
сейчас буду загружать DrWeb
УРА! установился, вроде работает.. Что ж это был за зверь? Спасибо огромное.!
[quote="map1998;836495"]то ж это был за зверь?[/quote][B]Rootkit.Win32.ZAccess[/B]
Логи в порядке
Как он пролез то? и еще , если можно, вопрос. что делать с запросами с брандмауэра - как отличать?
еще раз спасибо большое!
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\андрей\\local settings\\application data\\cc014626\\x - [B]Trojan.Win32.Yakes.heo[/B] ( DrWEB: Trojan.Siggen3.15578, BitDefender: Gen:Variant.Kazy.40500, AVAST4: Win32:Sirefef-CD [Trj] )[*] c:\\windows\\system32\\c_47426.nl_ - [B]Backdoor.Win32.ZAccess.aqo[/B] ( DrWEB: Trojan.Inject.53003, BitDefender: Trojan.Generic.6793824, AVAST4: Win32:Sirefef-PF [Trj] )[*] c:\\windows\\642122188:872331737.exe - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[*] c:\\windows\\642122188:872331737.exe:$data - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]