В один из компьютеров попала зараза. Пошла почтовая рассылка и одновременно закачка. Symantec многое удалил, но не все. Cureit и AVZ запускал только в безопасном режиме. В нормальном, комп. сразу же вылетает в синий экран.
В один из компьютеров попала зараза. Пошла почтовая рассылка и одновременно закачка. Symantec многое удалил, но не все. Cureit и AVZ запускал только в безопасном режиме. В нормальном, комп. сразу же вылетает в синий экран.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
Выполните в АВЗ
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('NdisWon', 4); StopService('NdisWon'); QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe',''); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\NdisWon.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto7986-191b.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-790525478-1580818891-839522115-1003\Dc20.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-790525478-1580818891-839522115-1003\Dc21.exe'); BC_DeleteFile('C:\WINDOWS\mmhren1.exe'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys'); BC_DeleteSvc('NdisWon'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=1799
Попытался, но опять вывалился в dump.
А выполняли в в безопасном режиме?
Выполните такой скрипт:
а затем скрипт из сообщения #2.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Adyn72', 'Start'); RebootWindows(true); end.
Если оба выполнятся успешно, пришлите карантин и сделайте новые логи (при возможности - в нормальном режиме).
I am not young enough to know everything...
Получилось выполнить скрипты в нормальном режиме. Логи высылаю.
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
Один файл почему-то не отправился, добавляю
Уважаемый, а где карантин?
Грузить
http://virusinfo.info/upload_virus.php?tid=17999
Добавлено через 6 минут
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('FCI', 4); SetServiceStart('diperto7986-191b', 4); StopService('diperto7986-191b'); StopService('FCI'); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('C:\WINDOWS\system32\diperto7986-191b.sys',''); QuarantineFile('FCI.sys',''); QuarantineFile('helpsvcNetDDEdsdm.sys',''); DeleteFile('FCI.sys'); DeleteFile('C:\WINDOWS\system32\diperto7986-191b.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteService('diperto7986-191b'); DeleteService('FCI'); SysCleanAddFile('C:\WINDOWS\mmhren1.exe'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\mmhren1.exe'); BC_DeleteFile('FCI.sys'); BC_DeleteSvc('FCI'); BC_DeleteSvc('diperto7986-191b'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17999
Загрузите обязательно...повторите логи
Последний раз редактировалось akoK; 14.02.2008 в 11:23. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Не получается. Сообщение: Превысил размер на форуме. Что делать?
Последний раз редактировалось gss1234; 14.02.2008 в 12:16.
Выкладываю последние логи.
Последний раз редактировалось gss1234; 14.02.2008 в 12:44.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DelAutorunByFileName('C:\WINDOWS\mmhren1.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17999
Повторите лог virusinfo_syscheck
Microsoft Most Valuable Professional in Consumer Security
Закачал карантин, вложение выслал.
Последний раз редактировалось gss1234; 15.02.2008 в 11:30.
Выполните:
Пришлите новый карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); QuarantineFile('C:\WINDOWS\system32\drivers\qqd.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\helpsvcNetDDEdsdm.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После выполнения скрипта, карантин был пустой.
Карантин создался после выполнения скрипта №3 из стандартных.
qqd.sys
helpsvcNetDDEdsdm.sys
Поищите через AVZ, найдутся - пришлите
Уважаемый(ая) gss1234, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.