Постоянно что то качает из сети , перестали показыватся системные папки и скрытые файлы . Просканировал диски, отчет прилагаю .
Я в этом деле плохо разбираюсь , так что сильно не пинайте
Printable View
Постоянно что то качает из сети , перестали показыватся системные папки и скрытые файлы . Просканировал диски, отчет прилагаю .
Я в этом деле плохо разбираюсь , так что сильно не пинайте
[url]http://virusinfo.info/showthread.php?t=1235[/url]
После выполнения всех рекомендаций в правилах , трафик кушает и так же скрытые и системные файлы показывать не хочет
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bgj47\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Bgj47.sys');
BC_DeleteSvc('Bgj47');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Bgj47.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ciadmi.dll','');
QuarantineFile('C:\WINDOWS\system32\cfgmgr3.dll','');
QuarantineFile('C:\WINDOWS\system32\cfgbken.dll','');
QuarantineFile('C:\WINDOWS\system32\cewmd.dll','');
QuarantineFile('C:\WINDOWS\system32\ceuti.dll','');
QuarantineFile('C:\WINDOWS\system32\cdosy.dll','');
QuarantineFile('C:\WINDOWS\system32\cdfvie.dll','');
QuarantineFile('C:\WINDOWS\system32\cabine.dll','');
QuarantineFile('C:\WINDOWS\system32\btpanur.dll','');
QuarantineFile('C:\WINDOWS\system32\btpanu.dll','');
QuarantineFile('C:\WINDOWS\system32\browse.dll','');
QuarantineFile('C:\WINDOWS\system32\bidisp.dll','');
QuarantineFile('C:\WINDOWS\system32\atrac.dll','');
QuarantineFile('C:\WINDOWS\system32\atipdlxf.dll','');
QuarantineFile('C:\WINDOWS\system32\atipdlx.dll','');
QuarantineFile('C:\WINDOWS\system32\ati2evx.dll','');
QuarantineFile('C:\WINDOWS\system32\advpac.dll','');
QuarantineFile('msiconf.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bgj47.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\CNQL121.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bgj47.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=20247[/url]).
Сделайте новые логи, начиная с п.10 правил.
Извините, хранилище какой программы отправлять ? В п3 сказано только про скачку AVZ:? Все выполнил , проблемы к сожалению те же:(
[quote=Deco;205370]Извините, хранилище какой программы отправлять ? В п3 сказано только про скачку AVZ[/quote]
Вот как сказано так и отправляйте. Отметьте все файлы, какие есть в карантине. Ссылку для загрузки архива я дал.
Спасибо , вроде отправилось . Заметил в логе Hijacksthis запущен вирус spyshredder он был вроде обнаружен и как бы убит AVASTOM еще в ферале однако смотрю он все таки пролез или я ошибаюсь?
А пока мы будем смотреть карантин, выполните такой скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wcg60', 'Start');
BC_DeleteSvc('Wcg60');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Wcg60.sys');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новый лог syscheck (п.10 правил).
Выполнил
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MSI Configuration] msiconf.exe
O4 - HKCU\..\Run: [SpyShredder] C:\Program Files\SpyShredder\SpyShredder.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Wcg60');
SetServiceStart('Wcg60', 4);
DeleteFile('C:\WINDOWS\system32\CNQL121.dll');
DeleteFile('C:\WINDOWS\system32\advpac.dll');
DeleteFile('C:\WINDOWS\system32\ati2evx.dll');
DeleteFile('C:\WINDOWS\system32\atipdlx.dll');
DeleteFile('C:\WINDOWS\system32\atipdlxf.dll');
DeleteFile('C:\WINDOWS\system32\atrac.dll');
DeleteFile('C:\WINDOWS\system32\bidisp.dll');
DeleteFile('C:\WINDOWS\system32\browse.dll');
DeleteFile('C:\WINDOWS\system32\btpanu.dll');
DeleteFile('C:\WINDOWS\system32\btpanur.dll');
DeleteFile('C:\WINDOWS\system32\cabine.dll');
DeleteFile('C:\WINDOWS\system32\cdfvie.dll');
DeleteFile('C:\WINDOWS\system32\cdosy.dll');
DeleteFile('C:\WINDOWS\system32\ceuti.dll');
DeleteFile('C:\WINDOWS\system32\cewmd.dll');
DeleteFile('C:\WINDOWS\system32\cfgbken.dll');
DeleteFile('C:\WINDOWS\system32\cfgmgr3.dll');
DeleteFile('C:\WINDOWS\system32\ciadmi.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wcg60.sys');
DelBHO('{CC70953C-79C5-4A24-9294-0AF2087B4A87}');
DelBHO('{98B8D7A9-DAA3-462F-8293-BE528D954243}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Wcg60');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
Все выполнил
1. [b]Отключите восстановление системы![/b]
2. Скачайте: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
распакуйте, запустите, слева внизу File, найдите файлы
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\System32\Drivers\Wcg60.sys
и сделайте им Force delete.
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wcg60.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Wcg60');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
4. Пофиксите в HijackThis то что указано в сообщении #10.
5. Обновите базы AVZ и сделайте логи еще раз.
Все сделал , трафик качать перестал , тока не хочет показывать скрытые и системные файлы. Огромное спасибо и на этом !!!!!!!
Подождите
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте и прикрепите новые логи.
Все сделал , прикрепляю логи
О чудо , скрытые папки начал показывать. Балгодарю всех откликнувшихся!!!!!
Outpost - отключите ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Wcg60.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Wcg60');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip - повторите ...
выполнил
в логах ничего подозрительного ...
какие-то проблемы остались ?
Все стало замечательно работать. Большое спасибо!!!
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]81[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\advpac.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\atipdlx.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\atipdlxf.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\ati2evx.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\atrac.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\bidisp.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\browse.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\btpanu.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\btpanur.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cabine.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cdfvie.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cdosy.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\ceuti.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cewmd.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cfgbken.dll - [B]Rootkit.Win32.Podnuha.brd[/B] (DrWEB: Trojan.Siggen.644)[*] c:\\windows\\system32\\cfgbken.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cfgmgr3.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\ciadmi.dll - [B]Rootkit.Win32.Podnuha.az[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\cnql121.dll - [B]Rootkit.Win32.Podnuha.ay[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.luo[/B] (DrWEB: Trojan.DownLoader.50037)[/LIST][/LIST]