Прошу помочь мне с лечением системы...
Логи прилагаются...
Printable View
Прошу помочь мне с лечением системы...
Логи прилагаются...
Ad-Aware - деинсталировать ...
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать [/URL] C:\WINX\system32\Drivers\Ejm50.sys , C:\WINX\system32\WLCtrl32.dll
-force delete
затем выполните скрипт авз ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINX\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('kdczd.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINX\Главное меню\Программы\Автозагрузка\svchost.exe','');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('kbd');
BC_DeleteSvc('Ejm50');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINX\system32\drivers\spools.exe','');
BC_DeleteSvc('msupdatedmserver');
QuarantineFile('C:\WINX\system32\adsmsextm.exe','');
QuarantineFile('C:\WINX\Help\oqtxde.chm','');
QuarantineFile('C:\WINX\system32\drivers\kbd.sys','');
QuarantineFile('C:\WINX\system32\Drivers\Ejm50.sys','');
QuarantineFile('C:\WINX\altvxvm.dll','');
QuarantineFile('C:\WINX\system32\adsntn.dll','');
QuarantineFile('C:\WINX\system32\WLCtrl32.dll','');
DeleteFile('C:\WINX\system32\WLCtrl32.dll');
DeleteFile('C:\WINX\system32\adsntn.dll');
DeleteFile('C:\WINX\altvxvm.dll');
DeleteFile('C:\WINX\system32\Drivers\Ejm50.sys');
DeleteFile('C:\WINX\system32\drivers\kbd.sys');
DeleteFile('C:\WINX\Help\oqtxde.chm');
DeleteFile('C:\WINX\system32\adsmsextm.exe');
DeleteFile('C:\WINX\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\All Users.WINX\Главное меню\Программы\Автозагрузка\svchost.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('wowfx.dll');
DeleteFile('kdczd.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINX\system32\maxpaynow1.exe');
DeleteFile('C:\WINX\system32\vedxga1me4t1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
/////[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать [/URL]C:\WINX\system32\Drivers\Ejm50.sys , C:\WINX\system32\WLCtrl32.dll
-force delete/////
Не понял что тут сделать надо?
По словом скачать ссылка откуда возьмете программу и надо будет ее запустить.
Что значит force delete меня больше интересует?
В программе откроется окно типа проводника. В нем надо найти файл и нажать force delete
Вот логи...
Карантин тоже загрузил...
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINX\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINX\mf7EBC.dll','');
BC_DeleteSvc('oqtxde');
DeleteFile('C:\WINX\Help\oqtxde.chm');
DeleteFile('C:\WINX\mf7EBC.dll');
DelCLSID('A8981DB9-B2B3-47D7-A890-9C9D9F4C5552');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
карантин добавил...там один файл...
Кстати, вдобавок у миня отключён "диспетчер задач" и "установка и удаления программ"...что за фигня?...как включить?
авз - Мастер поиска и устранения проблем - выбрать все устранить ....
перегрузитесь ...
повторите логи начиная с пункта 10 правил ..
Повторяю логи после перезагрузки:)
пофиксите ...
[code]
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINX\
[/code]
больше не вижу ничего зловредного ...
какие-то проблемы остались ?
Вроде больше ничего...всё работает...не перестаю удивлятся вашей оперативности...огромное спасибо:)
Фигня какая-то появилась...при входе в виндоус пишет про ошибку ntos.exe память не может быть read...проверял файла такого нету...в hijackthis есть такая строчка ...но при фиксе её она опять появляется...
Есть такой файл. Делайте новые логи.
Вот новые логи...чё-то мне кажется в компе опять не так...посматрите пожалуста
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
StopService('msupdate');
QuarantineFile('C:\WINX\svchost.exe','');
QuarantineFile('C:\WINX\Temp\mso13.exe','');
QuarantineFile('C:\WINX\system32\DRIVERS\ntcdrdrv.sys','');
QuarantineFile('c:\winx\system32\..\svchost.exe','');
QuarantineFile('C:\WINX\system32\DRIVERS\secdrv.sys','');
DeleteFile('c:\winx\system32\..\svchost.exe');
DeleteFile('C:\WINX\Temp\mso13.exe');
DeleteFile('C:\WINX\svchost.exe');
DeleteService('msupdate');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20113[/url]
Повторите логи
Карантин загрузил,логи повторяю.
Кстати неизвестно почему но MYIE2(браузер который я постоянно использую) не хочет загружать Интернет странички...сижу сейчас через обычный IE.
MYIE2 заработал после переустановки:)
mso13.exe-[B]Trojan-Downloader.Win32.Small.ivo[/B],secdrv.sys-[B]Trojan-PSW.Win32.Agent.aed[/B]
ntcdrdrv.sys-чистый,svchost.exe-новый зверек.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Secdrv', 4);
StopService('Secdrv');
DeleteFile('C:\WINX\system32\DRIVERS\secdrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Secdrv ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи для контроля.
Компьютер стал оч долго грузиться при появление рабочего стола...
вот логи...мб там чтонить найдёте?...
В логах чисто.
Чтоже могло увеличить загрузку компьютера?...так если подумать...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.winx\\главное меню\\программы\\автозагрузка\\svchost.exe - [B]Trojan.Win32.Inject.ahg[/B] (DrWEB: Trojan.Inject.777)[*] c:\\documents and settings\\localservice.nt authority.000\\local settings\\application data\\cftmon.exe - [B]Trojan-Downloader.Win32.Agent.lab[/B] (DrWEB: Trojan.PWS.Femail)[*] c:\\winx\\altvxvm.dll - [B]not-a-virus:AdWare.Win32.Vapsup.cty[/B] (DrWEB: Adware.Supa)[*] c:\\winx\\svchost.exe - [B]Trojan.Win32.Small.arn[/B] (DrWEB: Trojan.DownLoader.37508)[*] c:\\winx\\system32\\adsmsextm.exe - [B]Trojan.Win32.Pakes.cjv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\winx\\system32\\adsntn.dll - [B]Backdoor.Win32.Agent.frr[/B] (DrWEB: BackDoor.Ddoser)[*] c:\\winx\\system32\\drivers\\kbd.sys - [B]Trojan.Win32.Inject.adt[/B] (DrWEB: Trojan.Inject.795)[*] c:\\winx\\system32\\drivers\\secdrv.sys - [B]Trojan-PSW.Win32.Agent.aed[/B] (DrWEB: Trojan.PWS.Corp)[*] c:\\winx\\system32\\kdczd.exe - [B]Trojan.Win32.DNSChanger.apn[/B] (DrWEB: BackDoor.Mbot)[*] c:\\winx\\system32\\maxpaynow1.exe - [B]Email-Worm.Win32.Zhelatin.wd[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\winx\\system32\\vedxga1me4t1.exe - [B]Trojan-Downloader.Win32.Tibs.wz[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\winx\\temp\\mso13.exe - [B]Trojan-Downloader.Win32.Small.ivo[/B] (DrWEB: Trojan.MulDrop.13008)[/LIST][/LIST]