Junior Member
Вес репутации
59
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
iog-bach
Лечил WLCtrl32 как написано.
Вы Правила читали?
У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!
Пофиксите
Код:
O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\IE Extensions\cj.v2.dll
O16 - DPF: {2AF0C7B1-9389-11D8-869A-0020ED529CEE} (HTTPFileCtl Class) - http://servw0:17300/RSPortal/StartHTML/HTTPFile.cab
O22 - SharedTaskScheduler: App reset - {A25849C4-93F3-429D-FF34-260A2068897C} - (no file)
Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\vpnapi.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\FE250.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe','');
QuarantineFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll','');
QuarantineFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\winupdat.exe','');
QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\ieatgpc.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После ребута закачайте карантин и повторите логи.
Последний раз редактировалось Rene-gad; 26.03.2008 в 16:11 .
Junior Member
Вес репутации
59
Сорри.. читал невнимательно
После того, как загрузите карантин, выполните еще такой скрипт в AVZ :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
QuarantineFile('C:\WINDOWS\Explorer.EXE','');
BC_ImportQuarantineList;
BC_QrSvc('oqtxde');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20463 ).
Junior Member
Вес репутации
59
Отправил карантин после 1-го скрипта и повторил логи, которые аттачу.
Кажется sys_cure не смог приаттачиться..
Сейчас буду делать 2-й скрипт .. после него отправлю еще карантин и логи.
Спасибо.
Вложения
Junior Member
Вес репутации
59
1. Отправил карантин после 2-го скрипта. Архив делал через AVZ..не понятно где вставлять пароль virus
2. Логи после 2-го скрипта.
Вложения
AVZ сам вставляет пароль.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксите
Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('oqtxde');
DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
DeleteService('oqtxde');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
После ребута повторите логи.
Последний раз редактировалось Rene-gad; 26.03.2008 в 21:52 .
Причина: Был не прав.
Junior Member
Вес репутации
59
Закачал карантин. Запустил скрипты для логов.
Сообщение от
iog-bach
Закачал карантин.
Сорри, про карантин я был не прав А логи ждем-с...
Junior Member
Вес репутации
59
Вот и логи
сорри, что так долго.. пока AVZ папку с дистр просмотрит..
1. Был Access Violation на runscan
2. После того, как закончил делать логи включил Symantec и только потом броузер.
Получил сообщение:
Осмотр: Auto-Protect
Событие: Обнаружена угроза!
Угроза: Trojan Horse
Файл: C:\WINDOWS\system32\Drivers\vdeznza5.sys
Путь: Изолировать
Компьютер: C-OBER0AU
Пользователь:
Действие: Изолировать удалось: Доступ закрыт
Дата обнаружения: 26 марта 2008 г. 22:02:34
Вложения
C:\WINDOWS\Explorer.EXE,C:\WINDOWS\Downloaded Program Files\ieatgpc.dll - чистые ...
попробуйте поискать через авз - сервис - поиск файлов на диске .....
1 C:\WINDOWS\system32\drivers\grande48.sys,
2C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe,
3 С:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll ,
4 C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll
если найдутся ... пришлите согласно приложения 3 правил ...
vdeznza5.sys - драйвер AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('FE250', 4);
BC_DeleteSvc('FE250');
SetServiceStart('oqtxde', 4);
SetServiceStart('grande48', 4);
StopService('grande48');
StopService('oqtxde');
QuarantineFile('C:\WINDOWS\system32\drivers\winupdat.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe','');
QuarantineFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll','');
QuarantineFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
QuarantineFile('C:\WINDOWS\system32\Drivers\FE250.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\FE250.sys');
DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll');
DeleteFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe');
DeleteService('grande48');
DeleteService('oqtxde');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20463
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Карантин отправил. Запустил скрипт для логов. (думаю через час будут готовы)..
а если этот FE250 будет инфицирован, нужно будет новый переустановить? (он от LG mp3 плейра USBшный драйвер)?
Добавлено через 16 минут
Зашел в безопасном режиме и получил более правильный карантин. Загружаю файл virus4.zip
Последний раз редактировалось iog-bach; 26.03.2008 в 23:28 .
Причина: Добавлено
Junior Member
Вес репутации
59
Вот и логи.
наиболее содержательный карантин послан по праилу 3 в файле virus4.zip
Спасибо
Вложения
winupdat.exe - поищите при помощи АВЗ-сервис--поиск файлов на диске и пришлите согласно приложения 2 правил
Junior Member
Вес репутации
59
он должен быть в карантине virus4.zip как bcqr00001.dat И bcqr00002.dat, но я поищу еще
Добавлено через 4 минуты
поиск по диску С (за искл папки где дистриб виндовс) результатов не дал. Просмотрено 30266, найдено 0
Искал winu*
Последний раз редактировалось iog-bach; 27.03.2008 в 01:14 .
Причина: Добавлено
Junior Member
Вес репутации
59
Сорри.. раньше прийти не мог.
Вот логи.
Вложения
выполните скрипт ...
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\winupdat.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...