Постоянно находит вирус. Avz удаляет, после перезагрузки все по-новому.
Постоянно находит вирус. Avz удаляет, после перезагрузки все по-новому.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('msindc.dll',''); QuarantineFile('ktasr.dll',''); QuarantineFile('xlibgfl254.dll',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\system32\printer.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\system32\alt.exe.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\WINDOWS\TEMP\load2.exe',''); QuarantineFile('C:\Documents and Settings\User-1\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vch40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pwc51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oty05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cin73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Agl62.sys',''); QuarantineFile('C:\WINDOWS\system32\lich.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); QuarantineFile('c:\autoex.dll',''); DeleteFile('c:\autoex.dll'); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\lich.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Agl62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cin73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gmr73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gmr84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oty05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvb51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pwc51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Uaf06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vch40.sys'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\Documents and Settings\User-1\cftmon.exe'); DeleteFile('C:\WINDOWS\TEMP\load2.exe'); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('C:\WINDOWS\system32\alt.exe.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll'); DeleteFile('C:\WINDOWS\system32\ktasr.dll'); DeleteFile('C:\WINDOWS\system32\msindc.dll'); DeleteFile('C:\WINDOWS\system32\xsak251.exe'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN7.tmp'); DeleteFile('C:\WINDOWS\Temp\BN8.tmp'); DeleteFile('C:\WINDOWS\Temp\BN9.tmp'); DeleteFile('C:\WINDOWS\Temp\BNA.tmp'); DeleteFile('C:\WINDOWS\Temp\BNC.tmp'); DeleteFile('C:\WINDOWS\Temp\BNE.tmp'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1ORIJ34P\loader[1].exe'); DelBHO('{FFFFFFFF-D71D-41e4-A699-F506DBD097F0}'); DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}'); DelBHO('{0245D364-5F52-44ac-B6EB-7BAD6E3D7EF2}'); BC_ImportALL; BC_DeleteSvc('Vch40'); BC_DeleteSvc('Uaf06'); BC_DeleteSvc('Pwc51'); BC_DeleteSvc('Pvb51'); BC_DeleteSvc('Oty05'); BC_DeleteSvc('Nhh33'); BC_DeleteSvc('Gmr84'); BC_DeleteSvc('Gmr73'); BC_DeleteSvc('Cin73'); BC_DeleteSvc('Agl62'); BC_DeleteSvc('lich'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21829).
Сделайте новые логи.
I am not young enough to know everything...
карантин заслал
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe, O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('WLCtrl32.dll'); DeleteFile('xlibgfl254.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13 ); RebootWindows(true); end.
Последний раз редактировалось Гриша; 21.04.2008 в 15:04.
Еще один момент мы забыли:
AVZ - Файл - Восстановление системы - п.13 - Выполнить.
I am not young enough to know everything...
re
Все в порядке, выполните восстановление п.13 и на этом закончим.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\autoex.dll - not-a-virus:AdWare.Win32.BHO.ajq (DrWEB: Trojan.DownLoader.5975
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\1orij34p\\loader[1].exe - Trojan-Downloader.Win32.Mutant.mp (DrWEB: Trojan.DownLoader.57584)
- c:\\windows\\kavir.exe - Email-Worm.Win32.Zhelatin.xh (DrWEB: Trojan.Packed.431)
- c:\\windows\\system32\\msindc.dll - Trojan-Downloader.Win32.BHO.ev (DrWEB: BackDoor.Bho.3)
- c:\\windows\\system32\\sysmgr.exe - Trojan-Spy.Win32.Agent.ceh (DrWEB: BackDoor.BotSiggen.6)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.nhp (DrWEB: Trojan.DownLoader.57335)
- c:\\windows\\system32\\xsak251.exe - Trojan-Downloader.Win32.Mutant.mp (DrWEB: Trojan.DownLoader.57584)
- c:\\windows\\temp\\bna.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bnc.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bne.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bn2.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bn7.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bn8.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
- c:\\windows\\temp\\bn9.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
Уважаемый(ая) Grisha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.