Junior Member
Вес репутации
59
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: ABBYY.Licensing.FineReader.Professional.9.0 - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: AppMgmt - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
DeleteService('Msx38');
StopService('Msx38');
StopService('Ubg84');
DeleteService('Ubg84');
StopService('Rxd38');
DeleteService('Rxd38');
StopService('huadio');
DeleteService('huadio');
StopService('mapmem');
DeleteService('mapmem');
StopService('Hpu17');
DeleteService('Hpu17');
StopService('Qvb73');
DeleteService('Qvb73');
StopService('AppMgmt');
DeleteService('AppMgmt');
StopService('Amstcmsapwin');
QuarantineFile('Amstcmsapwin.sys','');
DeleteService('Amstcmsapwin');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys','');
QuarantineFile('D:\distrib\CS 1.6\3-ssc\ssclient.cmd','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ubg84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Msx38.sys','');
QuarantineFile('c:\mapmem.tmp','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hpu17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
QuarantineFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qvb73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('Amstcmsapwin.sys');
DeleteFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hpu17.sys');
DeleteFile('c:\huadio.tmp');
DeleteFile('c:\mapmem.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\Msx38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ubg84.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачать карантин и повторить логи.
Junior Member
Вес репутации
59
пока BN9 в windows\temp появляется !
Вложения
Все выполнять при отключенном антивирусе и интернете!
Скачать ,меню,File,появится аналог проводника,найти:Qvb73.sys,WinNt32.dll,tcpsr.sys,п равая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqv38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhm16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('Jqv38');
DeleteService('Lrw30');
DeleteService('Bhm16');
DeleteService('Qvb73');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Bhm16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqv38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw30.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\System Volume Information\_restore{5FF44690-0A0C-4884-BD84-1A6F3AD064A3}\RP400\A0148591.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Jqv38 ');
BC_DeleteSvc('Lrw30 ');
BC_DeleteSvc('Bhm16 ');
BC_DeleteSvc('Qvb73 ');
BC_DeleteSvc('tcpsr ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22832
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Junior Member
Вес репутации
59
Вирусы больше вроде не появляются. Только переодически разрывается соединение, но это возможно OUTpost !
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Qvb73');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Qvb73 ');
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Повторите логи.
Junior Member
Вес репутации
59
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 28 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\activationmanager\\activationmanager.dll - Trojan.Win32.BHO.bjn (DrWEB: Trojan.BhoSpy.5) c:\\system volume information\\_restore{5ff44690-0a0c-4884-bd84-1a6f3ad064a3}\\rp400\\a0148591.dll - Trojan.Win32.BHO.byf (DrWEB: Trojan.BhoSpy.5) c:\\windows\\system32\\drivers\\bhm16.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18 c:\\windows\\system32\\drivers\\tcpsr.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070) c:\\windows\\system32\\drivers\\ubg84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18 c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.wf (DrWEB: Trojan.DownLoader.59773)