McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!
McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!
Отключить антивирус, интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcess(19736); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); QuarantineFile('C:\WINDOWS\system32\vsmidi.dll',''); QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll',''); QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1234-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); QuarantineFile('C:\WINDOWS\System32\msvdm.dll',''); DelBHO('{4B5A7560-16C6-4063-86D3-000000000003}'); DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}'); DelBHO('{C5AC49A2-94F3-42BD-F434-2604812C897D}'); DelBHO('{A7F200B6-59D7-4F33-B52B-AC5AC7436204}'); DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}'); QuarantineFile('C:\WINDOWS\system32\ljjhghe.dll',''); QuarantineFile('I:\citysvyaz\citysvyaz.exe',''); QuarantineFile('C:\WINDOWS\system32\ssqpo.dll',''); QuarantineFile('C:\WINDOWS\system32\kdgj84ikg.dll',''); QuarantineFile('C:\WINDOWS\system32\fkg94fdg.dll',''); QuarantineFile('C:\WINDOWS\system32\dxclib303562752.dll',''); QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll',''); QuarantineFile('C:\WINDOWS\system32\bncmdue7h.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\System32\taskswitch.exe',''); QuarantineFile('C:\WINDOWS\System32\fast.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\IEeng.exe',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('D:\INSTALL\GMSIPCI.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\core.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS',''); QuarantineFile('C:\WINDOWS\system32\sfrem02.exe',''); QuarantineFile('C:\WINDOWS\grngoqw.exe',''); QuarantineFile('C:\Documents and Settings\Мария\Мои документы\Разное\Semagic1701for2k.exe',''); QuarantineFile('C:\WINDOWS\system32\wlkvafoj.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL'); DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\bncmdue7h.dll'); DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll'); DeleteFile('C:\WINDOWS\system32\dxclib303562752.dll'); DeleteFile('C:\WINDOWS\system32\fkg94fdg.dll'); DeleteFile('C:\WINDOWS\system32\kdgj84ikg.dll'); DeleteFile('C:\WINDOWS\system32\ssqpo.dll'); DeleteFile('C:\WINDOWS\System32\ljjhghe.dll'); DeleteFile('C:\WINDOWS\system32\drivers\core.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('runtime2.sys'); BC_DeleteSvc('core'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17458
Сделайте новые логи, будем продолжать
P.S. Объясните что у вас с антивирусами твориться, я увидел активные драйвера древней версии касперского , и части дрвеба. Коллекционируете?
Как видите, тараканов больше чем антивирусов Ваше отношение к защите компьютера оставляет желать лучшего...
Последний раз редактировалось drongo; 02.02.2008 в 21:12.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Перед выполнением скрипта drongo отключите восстановление системы.
шайссе, не отключил восстановление. еще раз сейчас прогоню и, соответственно, вышлю карантин.
Ну а старые драйверы - обычная история - как реестры не чисть - мусор все равно остается ((
http://virusinfo.info/showthread.php?t=16646
Тут описано как удалить ненужные Вам антивирусы
новые логи
высылаю карантин
а где остальные логи? В карантине только один файл.
Выполните в АВЗ
Загрузите карантин согласно приложения 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys',''); QuarantineFile('C:\WINDOWS\system32\ssqpo.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys',''); QuarantineFile('C:\WINDOWS\Bhm27.sys',''); QuarantineFile('C:\WINDOWS\system32\vsmidi.dll',''); QuarantineFile('C:\WINDOWS\System32\NavLogon.dll',''); DeleteFile('C:\WINDOWS\system32\ssqpo.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось wise-wistful; 03.02.2008 в 20:54.
лог syscure не прописывает, тольео syschek, карантин высылаю
Карантин как нормально загрузился? А то мне пишет, что он не найден на сервере.
да, написал, что загружен
вроде бы все гуд, только и-нет подвисает, пока не разобрался - почему.
давайте логи - только не косить ... полный комплект ... поправим ваш интернет ...
При запуске скрипта "выполнить лечение и сбор инфо" на скане диска выходит: ошибка "Runscan", Access violation чего-то там при создании карантина.
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ubg27\0000', 'CSConfigFlags', '1'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bhm27\0000', 'CSConfigFlags', '1'); StopService('Agk37'); SetServiceStart('Agk37', 4); SetServiceStart('Ubg27', 4); SetServiceStart('Bhm27', 4); QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys',''); QuarantineFile('C:\WINDOWS\.sys',''); QuarantineFile('ljjhghe.dll',''); QuarantineFile('C:\WINDOWS\system32\ssqpo.dll',''); QuarantineFile('C:\WINDOWS\system32\vsmidi.dll',''); QuarantineFile('c:\program files\deluxecommunications\dxcbho.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys',''); BC_DeleteFile('C:\WINDOWS\Bhm27.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ubg27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Agk37.sys'); DeleteFile('c:\program files\deluxecommunications\dxcbho.dll'); DeleteFile('C:\WINDOWS\system32\vsmidi.dll'); DeleteFile('C:\WINDOWS\system32\ssqpo.dll'); DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}'); DeleteFile('ljjhghe.dll'); BC_DeleteSvc('Agk37'); BC_DeleteSvc('Ubg27'); BC_DeleteSvc('Bhm27'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Последний раз редактировалось V_Bond; 04.02.2008 в 22:26.
ошибка скрипта Undeclared identifier 'BC_DeleteSV', позиция [25:13]
поправил ...
каранитин загружаю, скрипты сканирования повторю после загрузки
Добавлено через 12 минут
снова тоже самое Access violation at address 0040254 in module AVZ.exe Write of address 4643535D (вроде точно записал)
Последний раз редактировалось Xdrum; 04.02.2008 в 22:48. Причина: Добавлено
выполните стандартный скрипт №6 ... затем повторите логи ...
выполнил, повторил. То же самое, Access... и т.д.
Скачайте AVZ заново.
Уважаемый(ая) Xdrum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.