У юзера на пк стоит каспер воркстейшн, который бессилен.
доктор находит, удаляет вроде, но зараза активна
авира нашла за ними еще штук 20 вирей и 1 руткит
но зверята по прежнему буйствуют
У юзера на пк стоит каспер воркстейшн, который бессилен.
доктор находит, удаляет вроде, но зараза активна
авира нашла за ними еще штук 20 вирей и 1 руткит
но зверята по прежнему буйствуют
1. И Касперский, и Авира, и Битдефендер - так НЕЛЬЗЯ! Оставьте только один антивирус, какой больше нравится, остальные - удалите. Оставшийся на время выполнения отключите.
2. Отключите восстановление системы!
3. Пофиксите в HijackThis:
4. Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe, O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [lphcefoj0e33r] C:\WINDOWS\system32\lphcefoj0e33r.exe O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winms06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winio52.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winxf63.sys',''); QuarantineFile('C:\WINDOWS\system32\lphcefoj0e33r.exe',''); DeleteFile('C:\WINDOWS\system32\lphcefoj0e33r.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winxf63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winio52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winms06.sys'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\blphcefoj0e33r.scr'); DeleteFile('C:\WINDOWS\system32\twext.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
5. Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=31531).
6. Сделайте новые логи.
I am not young enough to know everything...
бит и авира - сканеры по требованию
после еще одного прогона авиры пришло в норму
визуально
Добавлено через 3 часа 22 минуты
сделано,
только закачивается и ставится автоматом какойто XP Antispyware 2009
залить не могу к сожалению карантин на ваш серв,
http://slil.ru/26210619
Последний раз редактировалось mayas; 06.10.2008 в 16:32. Причина: Добавлено
Логи повторите...
логи повторяю
XP_AntiSpyware - деинсталировать , вряд-ли это что-то хорошее ....
из трех антивирусов оставте один ....
скачайте C:\WINDOWS\System32\Drivers\Winyf41.sys - force delete
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('karna.dat',''); DeleteService('ati4jpxx'); DeleteService('ati3bhxx'); DeleteService('ati1ouxx'); DeleteService('ati1agxx'); DeleteService('ati0xexx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4jpxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1ouxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati1agxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf41.sys',''); QuarantineFile('Winyf41.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\braviax.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('Winyf41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1agxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ouxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4jpxx.sys'); DeleteFile('karna.dat'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
XP_AntiSpyware - это "находит" много якобы зловредов но хочет ЧТОБЫ денег дали, а то триал не может все это удаить
один антивирус и работает - это каспер (пока) но чувствую надо чтонибудь посерьезней уже..
завтра вышлю карантин.
Последний раз редактировалось V_Bond; 06.10.2008 в 22:49. Причина: нельзя полностью цитировать сообщения ...
каспер по прежнему находит вирусей, но неможет удалить
Отключите восстановление системы и антивирус!!!!
В IceSword найдите эти файлы:
И сделайте им Force Delete.Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\System32\drivers\Winta06.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyf41'); DeleteService('Windj17'); DeleteService('ati3bhxx'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winta06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windj17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf41.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\Documents and Settings\Коршак\Local Settings\Temp\Temporary Internet Files\Content.IE5\GP1UEU3F\Install[2].exe'); DeleteFile('C:\Documents and Settings\Коршак\Local Settings\Temp\Temporary Internet Files\Content.IE5\GP1UEU3F\Install[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winyf41'); BC_DeleteSvc('Windj17'); BC_DeleteSvc('ati3bhxx'); BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) mayas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.