Не понял я откуда все старое вылезло.
Повторяем лечение:
повторить станд скрипт №2 и прислать лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\RECYCLER\S-1-5-21-3723229475-7545113424-217271943-5973\mwau.exe'); DeleteFile('C:\WINDOWS\msddrv42.exe'); DeleteFile('mrmngr.exe'); DeleteFile('usb_mgr.exe'); BC_ImportDeletedList; ExecuteRepair(11); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Повторил, выкладываю...
АВИРА верещит как потерпевшая((
Алексей.
ЗЫ. Как почистить выложенные мной файлы? а то скоро лимит будет...
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.
Мой кабинет - Вложения. Оттуда можно удалить логи.
Вот остался этот:
повторить станд скрипт №2 и прислать лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\usb_mgr.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил, выложил...
Алексей
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.
Лог Хиджака сделай.
выполнить:
Прислать карантин по красной ссылке.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\usb_mgr.exe',''); QuarantineFile('usb_mgr.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уфф...(
После выполнения скрипта при перезагрузке компьютера - найдено новое неизвестное устройство, просит установить драйверы чз интернет... По свойствам определяется как рут... На диске С батник непонятный вылез... Грустно, в общем. Не выдержал - прогнал АВИРой - червь и троян определены и убиты - вот надолго ли, лезет зараза откуда-то(
Карантин, лог по скрипту №2 и Хиджака выкладываю... СОС...
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:28.
Неизвестное устройство - драйвер AVZ
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\msddrv42.exe'); QuarantineFile('usb_mgr.exe',''); QuarantineFile('mrmngr.exe',''); QuarantineFile('C:\WINDOWS\msddrv42.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7857559606-7046050793-135073055-9879\mwau.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7857559606-7046050793-135073055-9879\mwau.exe'); DeleteFile('C:\WINDOWS\msddrv42.exe'); DeleteFile('mrmngr.exe'); DeleteFile('usb_mgr.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
у меня есть другое предложение: попробовать проверить полностью диск CureIt
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
2 Тирекс - скрипт выполнил, карантин выслал, логи выкладываю. Прошу прощение за ламерское поведение - ну ведь как у того лося, который пьет, а ему все хуже и хуже).
2 Павел - пошел качать Кьюит
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:28.
А в логах оказалось уже чисто.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Пролечил АВИРой, прогнал Кьюитом... Последний поубивал порядка 30 вирусов 3 разновидностей - бэкдор, троян и червя. После каждой перезагрузки АВИРА ругается раз по 7-8, находя и удаляя трояна. Помогите ...
Алексей
Куреитом полную проверку делали?
Где Авира находит трояна, не в карантине ли Куреита?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Приветствую, Павел.
Куреитом - полную, АВИРА - в папке Винды/Систем32
Версия Windows: 5.1.2600, Service Pack 2 ; -- вот это исправил? Фаервалл стоит?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Павел, СП2 на СП3 не исправлю, тк моя Винда... Ну, причины есть на это...
Фаервалл не установлен, за все отдувается АВИРА.
Добавлено через 1 час 46 минут
В общем, итог следующий - во время лечения АВИРой и Куреитом (раза 3 уже пробывал) - детект, лечение 2-3 видов вируса. После лечения - при включении системы - 7-10 детектов АВИРы из папок Windows и Windows/System, после, в течение работы детекты каждые 10-15 минут - папки Windows/System и Windows/System32... Вот так невесело...
Последний раз редактировалось Sibirian; 24.07.2009 в 14:30. Причина: Добавлено
Тогда заплатки хотя бы. Все несколько сотен.Сообщение от Sibirian
Тему можно закрывать? Больше советов не будет? Без СП3 вылечить нереально?
Попробую так... Выкладываю логи согласно правилам. Карантин пустой, при КАЖДОЙ перезагрузке системы - 15-20 детектов АВИРОй... Все - переустановка системы с форматом винта?
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [Universal Serial Bus device] usb_mgr.exe O4 - HKLM\..\Run: [WindowsXP-SP3] win64svc.exe O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\msddrv42.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7596165920-6065426947-727308249-2203\mwau.exe',''); QuarantineFile('C:\WINDOWS\win64svc.exe',''); QuarantineFile('C:\WINDOWS\usb_mgr.exe',''); DeleteFile('C:\WINDOWS\usb_mgr.exe'); DeleteFile('C:\WINDOWS\win64svc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7596165920-6065426947-727308249-2203\mwau.exe'); DeleteFile('C:\WINDOWS\msddrv42.exe'); DeleteFile('G:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Сделайте лог GMER
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Профиксил, выполнил скрипт, карантин закачал, логи выкладываю.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.
Топчемся на месте...Скачайте по ссылке в моей подписи SPECIAL AVZ и дальше работайте с ним:
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [Windows Data Serivce] mrmngr.exe
- Сделайте повторные логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\mrmngr.exe'); DeleteFile('c:\windows\mrmngr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','WindowsXP-SP3'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
