Здравствуйте! Вирусы атакуют держатся больше нету сил.Все сделал по вашей схеме диагностики помогите пожалуйста
Printable View
Здравствуйте! Вирусы атакуют держатся больше нету сил.Все сделал по вашей схеме диагностики помогите пожалуйста
Логи AVZ не по форме, перечитайте правила.
Да извиняюсь.Логи изменил
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\win7service.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\zvprogls.sys','');
DeleteService('zvprogls');
QuarantineFile('C:\WINDOWS\System32\Drivers\bgcwsbgf.sys','');
DeleteService('bgcwsbgf');
QuarantineFile('C:\WINDOWS\System32\Drivers\aulwparp.sys','');
DeleteService('aulwparp');
DeleteFile('C:\WINDOWS\System32\Drivers\aulwparp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bgcwsbgf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zvprogls.sys');
QuarantineFile('F:\RECYCLER\S-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xtgtonrx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wpvlikbh.sys','');
DeleteService('xtgtonrx');
DeleteService('wpvlikbh');
QuarantineFile('C:\WINDOWS\System32\Drivers\remisxlt.sys','');
DeleteService('remisxlt');
QuarantineFile('C:\WINDOWS\System32\Drivers\lgtexphn.sys','');
DeleteService('lgtexphn');
QuarantineFile('C:\WINDOWS\System32\Drivers\hieqbzyn.sys','');
DeleteService('hieqbzyn');
QuarantineFile('C:\WINDOWS\System32\Drivers\fwvvxjdm.sys','');
DeleteService('fwvvxjdm');
QuarantineFile('C:\WINDOWS\System32\Drivers\dixudsvq.sys','');
DeleteService('dixudsvq');
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\dixudsvq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fwvvxjdm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hieqbzyn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lgtexphn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\remisxlt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wpvlikbh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xtgtonrx.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\Documents and Settings\Администратор\hywcyx.exe');
DeleteFile('F:\RECYCLER\S-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('dixudsvq');
BC_DeleteSvc('fwvvxjdm');
BC_DeleteSvc('hieqbzyn');
BC_DeleteSvc('lgtexphn');
BC_DeleteSvc('xtgtonrx');
BC_DeleteSvc('wpvlikbh');
BC_DeleteSvc('remisxlt');
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Пофиксите:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
[/code]
Повторите логи.
avast отключать?
[QUOTE=NemecFD;456692]avast отключать?[/QUOTE]Если проблема с отключением - удалите его. Он сейчас все равно уже бесполезен.
скажите пожалуйста что значит <пофиксить>
[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить"?[/URL]
Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
Что-то непонятно?
[B]NemecFD[/B], если этих строчек не можете найти, то это нормально, делайте новые логи.
логи повторил
Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\NetworkService\mcg.exe \s[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\mcg.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\mcg.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\zwmmbsdl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wzzfnuyo.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wukoreps.sys','');
DeleteService('zwmmbsdl');
DeleteService('wzzfnuyo');
DeleteService('wukoreps');
QuarantineFile('C:\WINDOWS\System32\Drivers\uxsbfcwb.sys','');
DeleteService('uxsbfcwb');
QuarantineFile('C:\WINDOWS\System32\Drivers\eqoooxyk.sys','');
DeleteService('eqoooxyk');
TerminateProcessByName('c:\windows\win7service.exe');
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\dll32.exe');
QuarantineFile('c:\dll32.exe','');
DeleteFile('c:\dll32.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\eqoooxyk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uxsbfcwb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wukoreps.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wzzfnuyo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zwmmbsdl.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + отчет утилиты GSI
я понял что такое профиксить! HiJack после кода:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\hywcyx.exe \s
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
Avast вирусов не находит! Идут только атаки с адресов он их блокирует.Пока все нормально. Огромное спасибо всем!
А где остальные логи и запрашиваемый отчет?
AVZ-syscure zip не отобразился
Ребята я кажется запутался . Помогите. Буду четко следовать вашим инструкциям
Отчет и лог AVZ сделаны с ошибкой
Мне повторить этот процесс?
Только это
[QUOTE='thyrex;456759']Сделайте новые логи + отчет утилиты GSI[/QUOTE]
Новые логи и отчет
Скачайте Combofix: [url]http://www.geekstogo.com/forum/Combofix-file197.html[/url] и сделайте очистку и лог: [url]http://www.bleepingcomputer.com/combofix/how-to-use-combofix[/url]
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.
Сносил систему три раза форматировал диск,результат тот-же.Потом сканировал Avast в фоновом режиме и не мог удалить инфецированный файл,Avast выдовал ошибку.Потом решил обратится к вам.Сейчас скачаю Combofix
результат Combofix
вирусы прибывают в С\ dll32d.exe появился они всегда после перезагрузки появляются разные.
Новые логи
Avast находит руткиты трояны и удаляет их. Натыкается на OnlineGames-CAA не может его удалить ошибка 0хС0000043 даже после того как переустановлю винду и отформатирую диск С: Сейчас постоянно открывается окно какогото сайта <ear money buscar con google
Такое ощущение, что вы постаянно перезаражаетесь. Пролечитесь live CD от доктора [url]http://virusinfo.info/showthread.php?t=15927[/url]
потом не втыкая флешки, не включая интернет выполните скрипт, после - сделайте новые логи, установите все патчи.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('yumopmvi');
DeleteService('wycnrukb');
DeleteService('wwtevtxk');
DeleteService('vfhvtwkb');
DeleteService('vefvtokd');
DeleteService('telfmlaa');
DeleteService('spivzbje');
DeleteService('jalcwlzh');
DeleteService('hkvldygo');
DeleteService('cwvhwknw');
DeleteService('bqykvlvu');
DeleteService('akjztryc');
DeleteService('aewzaadb');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\drivers\uutahvgt.sys','');
QuarantineFile('c:\windows\system32\cscui.dll','');
DeleteFile('c:\windows\system32\22.scr');
DeleteFile('c:\windows\system32\83.scr');
DeleteFile('c:\windows\system32\45.scr');
DeleteFile('c:\windows\system32\41.scr');
DeleteFile('c:\windows\system32\02.scr');
DeleteFile('c:\windows\system32\16.scr');
DeleteFile('c:\windows\system32\37.scr');
DeleteFile('c:\windows\system32\76.scr');
DeleteFile('c:\windows\system32\48.scr');
DeleteFile('c:\windows\mslsrv.exe');
DeleteFile('c:\windows\system32\57.scr');
DeleteFile('c:\windows\system32\28.scr');
DeleteFile('c:\windows\system32\03.scr');
DeleteFile('c:\windows\system32\12.scr');
DeleteFile('c:\windows\system32\81.scr');
DeleteFile('c:\windows\nsreg.dat');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_7c1571a4.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_225a1f24.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_10d22696.exe');
DeleteFile('c:\windows\system32\drivers\54601050.sys');
DeleteFile('c:\windows\system32\drivers\aswFsBlk.sys');
DeleteFile('c:\windows\System32\Drivers\zondifuu.sys');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\aewzaadb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\akjztryc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bqykvlvu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cwvhwknw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hkvldygo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\jalcwlzh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\spivzbje.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\telfmlaa.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vefvtokd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vfhvtwkb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wwtevtxk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wycnrukb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yumopmvi.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-3870115716-6955661510-202539859-3924\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9729631832-7627857942-972105989-2097\mwau.exe');
DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000059.exe');
DeleteFile('C:\WINDOWS\system32\20.scr');
DeleteFile('C:\WINDOWS\system32\33.scr');
DeleteFile('C:\WINDOWS\system32\35.scr');
DeleteFile('C:\WINDOWS\system32\77.scr');
DeleteFile('C:\WINDOWS\system32\87.scr');
DeleteFile('c:\windows\logfile32.txt');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('c:\windows\system32\drivers\LBTWiz.exe');
DeleteFile('c:\windows\system32\i');
DeleteFile('c:\windows\system32\msvcrt2.dll');
DeleteFile('c:\windows\system32\secupdat.dat');
SetAVZPMStatus(True);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин по правилам.
Сделал вроде бы все
[B][COLOR="Red"]Отключите восстановление системы[/COLOR][/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9977290662-9927180453-299903443-7080\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0223389012-3395407254-963591198-1596\csvcs.exe');
DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000276.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Новые логи
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\w7services.exe','');
DeleteFile('C:\WINDOWS\w7services.exe');
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
лог
Файл virusinfo_cure.zip от 8 сентября не надо было присылать. Надо было создать новый файл с текущим содержимым карантина.
я понял отсылаю
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
извиняюсь за невнимательность
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe - [B]Email-Worm.Win32.BSpread.b[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )[*] c:\system volume information\_restore{08fec803-7d9b-4751-aa6b-6bd703a4e0de}\rp1\a0000276.scr - [B]Backdoor.Win32.SdBot.oqa[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2418523, AVAST4: Win32:Trojan-gen )[*] c:\windows\win7service.exe - [B]Email-Worm.Win32.BSpread.b[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Application.Generic.198471, AVAST4: Win32:Crypt-EXW [Trj] )[*] c:\windows\win7service.exe - [B]Trojan-Downloader.Win32.Pher.v[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )[*] f:\autorun.inf - [B]Net-Worm.Win32.Kolab.dkv[/B] ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun virus, AVAST4: BV:AutoRun-X [Wrm] )[*] f:\recycler\s-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe - [B]Trojan-Downloader.Win32.Pher.v[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )[/LIST][/LIST]