Здравствуйте!
Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
Printable View
Здравствуйте!
Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
Многовато накопилось. Может Доктор у Вас старой версии?
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\E8AFA062.exe','');
QuarantineFile('C:\58B0156C.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\сsrss.exe','');
QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
QuarantineFile('C:\WINDOWS\system32\mms32swasw.dll','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
SetServiceStart('Google Online Services', 4);
StopService('Google Online Services');
QuarantineFile('c:\windows\system32\yrinuhkp.exe','');
QuarantineFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe','');
QuarantineFile('c:\windows\system32\shovth.exe','');
QuarantineFile('c:\documents and settings\winxp\ie_updates3r.exe','');
DeleteFile('c:\documents and settings\winxp\ie_updates3r.exe');
DeleteFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe');
DeleteFile('c:\windows\system32\yrinuhkp.exe');
DeleteFile('C:\WINDOWS\pxgdslro.dll');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\system32\mms32swasw.dll');
DeleteFile('C:\WINDOWS\system32\winsn.exe');
DeleteFile('C:\WINDOWS\system32\winsos.exe');
DeleteFile('C:\WINDOWS\system32\сsrss.exe');
DeleteFile('C:\58B0156C.exe');
DeleteFile('D:\E8AFA062.exe');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин, сделать новые логи.
Да нет, лицензия и свежие базы. Сам в шоке :(((
Я скрипт написал, см. выше.
Карантин выслал. Сам комп не перезагрузился, пришлось резетнуть. После перезагрузки диски не открываются, тапа выбирете программу, хотя через Пуск Выполнить Обзор нормально работает.
Выполни след. скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\dnserv.dll','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришли карантин. На предыдущий подождем ответа аналитиков.
На всякий случай приготовься использовать Winsockxpfix.
Карантин выслал. Ок ждем.
'C:\WINDOWS\System32\dnserv.dll' - Trojan-PSW.Win32.Agent.aks по Касперскому.
Пароли, скорее всего, ушли на сторону.
Напишу скрипт для удаления этой гадости. До него надо записать настройки сети,
После него пропадет Инет и надо прогнать winsockspfix и заново настроить сетку.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Вот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\dnserv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Так, после скрипта комп не грузится, Windows ругается типа "Сбой удаленный вызов процедур RPC" и дает отсчет времени до перезагрузки.....
В безопасном режиме аналогичная ситуация.
Значит, надо делать возврат к последней успешной конфигурации.
Это очень печально. :(
Удалось загрузится. На рабочем столе пусто, три волшебные клавиши работают. Что делать дальше????
Пилюля №5 из "Восст. системы" в AVZ должна помочь с рабочим столом.
После этого делать новые логи, будем смотреть что получилось.
Локальная загрузка профиля приводит к перезагрузке с отсчетом времени.
Удалось подключится через удаленный рабочий стол, профиль грузится с кучей ошибок, все интернет приложения, при выходе в интернет падают в корку. Вот прилагаю логи которое удалось сделать.
З.Ы. Восстановление системы №5 пока не делал.
З.Ы.Ы. Сейчас пока комп включен сожрало все место свободное на диске С:
Winsockxpfix применял? Очень похоже что нет.
Есть вероятность того, что повредился профиль.
Еще и звери остались :(
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
QuarantineFile('C:\WINDOWS\system32\ezwfivsx.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\ezwfivsx.exe');
DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/CODE]
Присылай следующих, если попадут в карантин.
Вот новые логи. Карантин отправил. Winsockxpfix сделал. Интернет как бы не работает, страницы не открываются.
Логи делал до Winsockxpfix или после? Такое ощущение, что он не сработал.
Попробуй сделать в AVZ восст. системы п.15, а после него п.18.
Настройки надо будет прописать заново.
Для прочистки от мусора:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gwin32.dll');
DelBHO('{FFFFFFFF-85A3-452b-B7A8-759AD9B42162}');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После этих процедур интернет заработал. Что дальше делать?
Профиксить:
[CODE]O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll (file missing)
O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - gwin32.dll (file missing)[/CODE]
Сделать логи с п.10 Правил.
Рабочий стол восстановился?
Рабочий стол в порядке. Ошибки при загрузке пропали. Только СМТП потоки идут по полной процессом services.exe
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Подожди пока скрипт выполнять. Что-то он в карантин не пошел, а экземплярчик интересный. :)
Скачай IceSword. Запустишь, выбрать File, затем copy для вот этого файла:
'C:\WINDOWS\system32\sywtdxaz.sys' Если удачно скопируется, то потом после окончания лечения надо будет посадить его в карантин и прислать.
После операции копирования можно применять скрипт V_Bond
Сорри. Но файл удален :(((
Но после его удаления все попустилось. Вот новые логи.
Еще замечено диск заполнялся до предела в папке C:\WINDOWS\pchealth\ERRORREP\UserDumps
Не из терминальной сессии тоже все работает?
Ага. И без ошибок :)))