Не открываються скрытые файлы и логические диски

[Sklad]

Здраствуйте. Проверел свой комп вашими прогами, вот что нашел. Помогите мне пожалусто. Заранее очень благодарен

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Common Files\esonopress Shared\Service\Licence Manager SON.exe','');
 QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iwgtihhn.dat','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\opt2\Local Settings\Temporary Internet Files\Content.IE5\KRZ328T1\PopularScreenSaversFWBInitialSetup1.0.0.15-3[1].cab','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat','');
 DeleteFile('C:\Documents and Settings\opt2\Local Settings\Temporary Internet Files\Content.IE5\KRZ328T1\PopularScreenSaversFWBInitialSetup1.0.0.15-3[1].cab');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\RGWIE.dll');
 DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportALL;
 ExecuteRepair(6);
 ExecuteRepair(8);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16594

Добавлено через 1 минуту

Повторите логи

[Sklad]

Большое Спасибо akok за быстрый ответ! После выполнение скрипта стали открываться скрытые файлы и логические диски. Спс еще раз)) Карантин выслал логи прилогаються.

[akok]

Поищите с помощью AVZ такой файл m1t8ta.com

[Sklad]

Извините, а как это сделать (поискать файл), обясните пожалусто или скинте сылку.

[akok]

C:\WINDOWS\system32\drivers\iwgtihhn.dat - Rootkit.Win32.Agent.tw
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('boennsex', 4);
 StopService('boennsex');
 DeleteService('boennsex');
 QuarantineFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat','');
 DeleteFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat');
  RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .

Да повторите логи посмотрим не пряталось ли чего за Rootkit

[Sklad]

вот все что просили

[akok]

Извините, а как это сделать (поискать файл), обясните пожалусто или скинте сылку.

avz-сервис-поиск файла на диске..
копируете имя и пуск

Добавлено через 1 минуту

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

	F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe 
	O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYRU

[Sklad]

Поиск файлов по маске m1t8ta.com
Поиск файлов завершен
Просмотрено 68230, найдено 0

[akok]

Все, осталось только мусор профиксить (пост №8 )
Какие проблемы еще остались?

[Sklad]

Уважаемый!Еще вопросик, после всех вышеуказанных действий захожу на диск Д, а там весят(скрытые) вот эти гады: d.com; juok3st.bat;u.bat. Вопрос: с ними надо чё нить делать?

[Shu_b]

заархивировать с паролем virus, и отправить туда - http://virusinfo.info/upload_virus.php?tid=16594

[akok]

Удалять не глядя и не запуская...со всех локальных дисков
Пройдитесь поиском AVZ по этим именам и удалите

Осторожно с флешками....

Код:

procedure DisableAutorun;
begin
 // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
 
begin
 DisableAutorun;
end.

Это отключит автозагрузку со всех носителей кроме CD...
P>S> Если будете открывать через Мой Компьтер осторожно, по двойному нажатию срабатывает авторан, все равно. Лучше удалалять через файл менеджер

[Sklad]

1)А как это выполнить тоже через AVZ

Код:

procedure DisableAutorun;
begin
 // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
 
begin
 DisableAutorun;
end.

2) До этого я писал про диск Д а вот как выглядет мой С что из этого тоже почикать

[akok]

nohp.exe заархивировать с паролем virus, и отправить сюда - http://virusinfo.info/upload_virus.php?tid=16594

Конечно все скрипты в AVZ

[Sklad]

Вирус выслал(в архиве). А после скрипта (пост14) засунул флеху и она у меня даже не стала делать запрос что делать а сразу открылась))) благо была чистая))

[V_Bond]

nohp.exe TR/PCK.PolyCrypt.D.139

[Sklad]

Извините это что и куда это девать

[V_Bond]

выполните поиск файла nohp.exe при помощи авз и удалите ... если не получится ... дайте полный путь к файлу ... напишем скрипт ...

[Sklad]

Все удалилось!)) Огромное спасибо!!!