Вот такая гадость завелась пока антивирус не стоял, теепрь не знаю как избавиться. Дрвеб вроде трет но при каждом запуске снова находит. Помогите плз.
Вот такая гадость завелась пока антивирус не стоял, теепрь не знаю как избавиться. Дрвеб вроде трет но при каждом запуске снова находит. Помогите плз.
Последний раз редактировалось aspu; 08.04.2011 в 14:15.
На время выполнения скрипта, отключите восстановление системы, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=16784 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Ggq05'); SetServiceStart('Ggq05', 4); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ggq05', 'Start'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ggq05.sys',''); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Ggq05'); BC_ImportquarantineList; BC_Activate; RebootWindows(true); end.
Угу мне этот Ggq сразу не понравился но выдрать его не могу никак даж в сейф моде. ВИдимо придется с LiveCD. Карантил отправил, новые логи прилагаются. Диск I это флешка. После выполнения скрипта и перезагрузки оказалась зараженной. Авторан с ссылкой на Setup.exe
Последний раз редактировалось aspu; 08.04.2011 в 14:15.
Setup этот ДРвебом не определяется. Вирустотал показывает такую картинку
http://www. virustotal. com/ru/analisis/e1db35f4b6bb8df989571b1af5ff5d67
Попробуйте так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:После перезагрузки, снова повторите логи, начиная с п. 10 правил, и, если карантин не пустой, загрузите его повторно.Код:begin SetAVZGuardStatus(True); DeleteFile('I:\autorun.inf'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ggq05\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\system32\Drivers\Ggq05.sys'); BC_DeleteSvc('Ggq05'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys'); BC_Activate; RebootWindows(true); end.
Карантин пустой
Последний раз редактировалось aspu; 08.04.2011 в 14:15.
После выполнения последнего скрипта 'C:\WINDOWS\system32\Drivers\Ggq05.sys' пропал. Дрвеб обнаружил и удалил smtpdrv.sys в той же папке и Nb02.tmp в папке TEMP.
Мда... Откуда-то появилась еще одна запись Давайте попробуем еще один скрипт:После перезагрузки, повторите логи. Того злодея, что запускается через autorun.inf, чистить так, как написано здесь: http://virusinfo.info/showthread.php?t=8877Код:begin BC_DeleteSvc('Ouo37'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ouo37.sys'); BC_Activate; RebootWindows(true); end.
Результатики
Последний раз редактировалось aspu; 08.04.2011 в 14:15.
В логах всё нормально. Проблем больше нет?
В диспетчере служб AVZ нашел еще одну гадость там же в драйверах (ctl_w32.sys), удалил ее через аналогичный скрипт и теперь вроде все чисто. Спасибо огромное за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) aspu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.