Помогите плиз!
Высылаю логи.
Printable View
Помогите плиз!
Высылаю логи.
Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\printer.exe','');
QuarantineFile('C:\WINNT\system32\stdole32.dat','');
DeleteFile('C:\WINNT\system32\printer.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Карантин отправлен.
С нетерпением жду обнадеживающих новостей.
Карантинчик неправильно сделали. Надо было про Приложению 3 Правил.
stdole32.dat - Trojan.Perfcoo (по Симантеку)
Будем удалять.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\stdole32.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Извиняюсь!
Высылаю карантин сделаный в AVZ.
Мне показалось что он не полный.
он пустой и убрать отсюда, если не хотите получить нарушение
Из вложений я "virus.zip" (его я делал через AVZ ) удалил и переслал через
ссылку в верху.
Скрипт выполнил но вирусяка все равно грузится при загрузке
[QUOTE=ula_2007;139657]Из вложений я "virus.zip" (его я делал через AVZ ) удалил и переслал через
ссылку в верху.
Скрипт выполнил но вирусяка все равно грузится при загрузке[/QUOTE]
Делай логи еще раз. Посмотрим, что осталось.
Высылаю новые логи.
На удивление стало еще больше.
Выполнить скрипт:
[CODE]begin
ClearQuarantine;
ClearHostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\WINNT\system32\printer.exe');
DeleteFile('C:\WINNT\system32\printer.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин после перезагрузки.
Сделать лог в Safe Mode: [url]http://virusinfo.info/showthread.php?t=10387[/url]
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
'C:\WINNT\system32\printer.exe' - Trojan.Win32.Qhost.pd
stdole32.dat - Trojan.Win32.Obfuscated.ii (по Касперскому)
Высылаю протокол сделаный
в безопасном режиме.
уже получше. вот еще какой-то интересный файлик оказался:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\c:\huadio.tmp','');
BC_QrFile('c:\huadio.tmp');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если попадет в карантин, загрузи отдельно от остальных.
Отсылаю полный карантин
и отдельно huadio.tmp
huadio.tmp - чистый
Из скрипта №10 похоже все файлы убил твой антивирус.
Делай новый комплект логов.
Всем спасибо.
Отдельное спасибо Павлу!
Тему закрываю.Перелью винду,а то это долгая басня.
Просто комп стоит в другом месте.
Да если необходимо какая-то процедура закрытия темы,
то сообщите.
Еще раз всех благодарю.
Зря. Я думаю, что на компе уже чисто. Переставлять винду не нужно, она живая.
Не Паша ,после второй перезагрузки все как
с чистого листа.Грузится printer.exe,
запускается процесс WinAvX.exe.
Я думаю ядро по самое нехочу заражено.
Если есть десяток минут, подожди. Посмотрю в соседних темах, что мы с тобой недолечиваем.
окей!
Профиксить:
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINNT\system32\printer.exe');
BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
попробуйте поискать SCRNSAVE.EXE -через AVZ - сервис- поиск файлов на диске ... если найдется пришлите по правилам ..
Профиксить я так понимаю поудалять записи
с реестра и system.ini.
[URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]
[quote=V_Bond;139726]попробуйте поискать SCRNSAVE.EXE -через AVZ - сервис- поиск файлов на диске ... если найдется пришлите по правилам ..[/quote]
Этот файл AVZ не нашел.
После фиксов и исполнения скрипта помоему все заработало.
Карантин не создался в AVZ.
сделайте новые логи ...
[quote=V_Bond;139759]сделайте новые логи ...[/quote]
Всем доброе утро.
Отсылаю логи.Комп запустился вроде без проблем.
Нужно будет подправить реестр (панель управления,диспетчер задач)
под профилем.
Можно через AVZ Файл -- "Восст. системы",там отметить нужные пункты.
Сделал востановление в AVZ.
Умер интернет и каспер не может запустить веб и почтовик.
Какую-то галочку не туда влепил (сеть работает).
Прокси прописан
Что-то невезуха у тебя какая-то. :( См. файл Hosts, м.б. туда опять дряни напихали.
Каспера восстановлением точно сломать тяжело.
Придется заново логи делать. Надо смотреть что получилось.
Я очистил Hosts в AVZ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\printer.exe - [B]Trojan.Win32.Qhost.pd[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\winnt\\system32\\stdole32.dat - [B]Trojan.Win32.Obfuscated.ii[/B] (DrWEB: Trojan.Fakealert.357)[/LIST][/LIST]