McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!
Printable View
McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!
Отключить антивирус, интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcess(19736);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll','');
QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1234-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\WINDOWS\System32\msvdm.dll','');
DelBHO('{4B5A7560-16C6-4063-86D3-000000000003}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{C5AC49A2-94F3-42BD-F434-2604812C897D}');
DelBHO('{A7F200B6-59D7-4F33-B52B-AC5AC7436204}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
QuarantineFile('C:\WINDOWS\system32\ljjhghe.dll','');
QuarantineFile('I:\citysvyaz\citysvyaz.exe','');
QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
QuarantineFile('C:\WINDOWS\system32\kdgj84ikg.dll','');
QuarantineFile('C:\WINDOWS\system32\fkg94fdg.dll','');
QuarantineFile('C:\WINDOWS\system32\dxclib303562752.dll','');
QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll','');
QuarantineFile('C:\WINDOWS\system32\bncmdue7h.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\taskswitch.exe','');
QuarantineFile('C:\WINDOWS\System32\fast.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\IEeng.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\core.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS','');
QuarantineFile('C:\WINDOWS\system32\sfrem02.exe','');
QuarantineFile('C:\WINDOWS\grngoqw.exe','');
QuarantineFile('C:\Documents and Settings\Мария\Мои документы\Разное\Semagic1701for2k.exe','');
QuarantineFile('C:\WINDOWS\system32\wlkvafoj.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\bncmdue7h.dll');
DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll');
DeleteFile('C:\WINDOWS\system32\dxclib303562752.dll');
DeleteFile('C:\WINDOWS\system32\fkg94fdg.dll');
DeleteFile('C:\WINDOWS\system32\kdgj84ikg.dll');
DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
DeleteFile('C:\WINDOWS\System32\ljjhghe.dll');
DeleteFile('C:\WINDOWS\system32\drivers\core.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('runtime2.sys');
BC_DeleteSvc('core');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17458[/url]
Сделайте новые логи, будем продолжать :moil:
P.S. Объясните что у вас с антивирусами твориться, я увидел активные драйвера древней версии касперского , и части дрвеба. Коллекционируете?
Как видите, тараканов больше чем антивирусов :)Ваше отношение к защите компьютера оставляет желать лучшего...
Перед выполнением скрипта drongo [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL].
шайссе, не отключил восстановление. еще раз сейчас прогоню и, соответственно, вышлю карантин.
Ну а старые драйверы - обычная история - как реестры не чисть - мусор все равно остается ((
[url]http://virusinfo.info/showthread.php?t=16646[/url]
Тут описано как удалить ненужные Вам антивирусы
новые логи
высылаю карантин
а где остальные логи? В карантине только один файл.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
QuarantineFile('C:\WINDOWS\Bhm27.sys','');
QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
QuarantineFile('C:\WINDOWS\System32\NavLogon.dll','');
DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
лог syscure не прописывает, тольео syschek, карантин высылаю
Карантин как нормально загрузился? А то мне пишет, что он не найден на сервере.
да, написал, что загружен
вроде бы все гуд, только и-нет подвисает, пока не разобрался - почему.
давайте логи - только не косить ... полный комплект ... поправим ваш интернет ...
При запуске скрипта "выполнить лечение и сбор инфо" на скане диска выходит: ошибка "Runscan", Access violation чего-то там при создании карантина.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ubg27\0000', 'CSConfigFlags', '1');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bhm27\0000', 'CSConfigFlags', '1');
StopService('Agk37');
SetServiceStart('Agk37', 4);
SetServiceStart('Ubg27', 4);
SetServiceStart('Bhm27', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
QuarantineFile('C:\WINDOWS\.sys','');
QuarantineFile('ljjhghe.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
QuarantineFile('c:\program files\deluxecommunications\dxcbho.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
BC_DeleteFile('C:\WINDOWS\Bhm27.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ubg27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agk37.sys');
DeleteFile('c:\program files\deluxecommunications\dxcbho.dll');
DeleteFile('C:\WINDOWS\system32\vsmidi.dll');
DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
DeleteFile('ljjhghe.dll');
BC_DeleteSvc('Agk37');
BC_DeleteSvc('Ubg27');
BC_DeleteSvc('Bhm27');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
повторите логи ...
ошибка скрипта Undeclared identifier 'BC_DeleteSV', позиция [25:13]
поправил ...
каранитин загружаю, скрипты сканирования повторю после загрузки
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
снова тоже самое Access violation at address 0040254 in module AVZ.exe Write of address 4643535D (вроде точно записал)
выполните стандартный скрипт №6 ... затем повторите логи ...
выполнил, повторил. То же самое, Access... и т.д.
Скачайте AVZ заново.
новые логи и карантин
уже чище ...
выполните скрипт ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll','');
QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll','');
QuarantineFile('C:\WINDOWS\grngoqw.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
высылаю
ненужно переименовывать карантин ... еще и с кирилицей ...
пришлите нормально ...
выслал
[b]Trojan.Win32.BHO.bd[/b] C:\WINDOWS\system32\hgbqnmsd.dll
[b]Trojan.Win32.BHO.bd[/b] C:\WINDOWS\system32\qmtwfubo.dll
Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\hgbqnmsd.dll');
DeleteFile('C:\WINDOWS\system32\qmtwfubo.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Поищите через AVZ grngoqw.exe, найдется - пришлите
не нашел такого
сделайте комплект логов ...
логи и карантин
wlkvafoj.exe найдите при помощи авз и пришлите по правилам ...
AVZ такого файла не видит. хотя при поиске в реесте указывает.
выполните скрипт ....
[code]
begin
DeleteService('DomainService');
DeleteFile('C:\WINDOWS\system32\wlkvafoj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повтоите логи начиная с пункта 10 правил ....
логи
влогах ничего зловредного ...
мусор осталось убрать ...
выполните скрипт ...
[code]
begin
DeleteService('Windows Overlay Components');
DeleteFile('C:\WINDOWS\grngoqw.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
службы - понятия не имею, ни о чем не говорят, ничего на первый взгляд.
безопасность - все нормально, но IE у меня ущербный, хожу через оперу.
компьютер домашний \ рабочий ?
локалка есть \ нет ?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\мария\\local settings\\temp\\rtert4.pif - [B]Trojan-Downloader.Win32.Tiny.ahp[/B] (DrWEB: Trojan.DownLoader.46257)[*] c:\\program files\\deluxecommunications\\dxcbho.dll - [B]not-a-virus:AdWare.Win32.SurfSide.ay[/B] (DrWEB: Adware.Surfside)[*] c:\\windows\\system32\\drivers\\agk37.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.134)[*] c:\\windows\\system32\\hgbqnmsd.dll - [B]Trojan.Win32.BHO.bd[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\qmtwfubo.dll - [B]Trojan.Win32.BHO.bd[/B] (DrWEB: Trojan.Virtumod.214)[/LIST][/LIST]