AVZ сразу после запуска закрывается
AVZ сразу после запуска закрывается
Последний раз редактировалось mic149; 19.06.2008 в 22:01.
pleazzzzz
Скачайте этот AVZ и сделайте логи.
пока ждал ответа, вставил винт в другой комп, cureit сообщил:
ftp34.dll -trojan.downloader.63153
svchost.exe с разными путями - тоже trojan.downloader.63153
разные зараженные exe'шники - win32.sector.5
c:\windows\system32\appmgmtu.exe - win32.sector.5
back.exe.exe - trojan.downloader.62867
ftp34.dll -trojan.downloader.63153
hkcmd.exe - win32.sector.5 - исцелен
iedn534.exe, iedn632.exe и др - trojan.downloader.62867
trojan.downloader.63153
win32.sector.5
trojan.click.19083
backdoor.bulknet.213
winnt64.dll, winnt64.dl_ - trojan.downloader.63655
rundll32.exe - win32.sector.5 - исцелен
kdkvm.exe - trojan.virtumod.based.14
igfxpers.exe - trojan.inject.3477 - исцелен
c:\windows\system32\drivers\mfdt47.sys - trojan.spambot.3201
services.exe - trojan.downloader.63152
svchost.exe - trojan.click.19083
winqv74.sys - trojan.rntm.10
c:\userinit.exe - trojan.downloader.63152
---------------
я боюся
Добавлено через 4 минуты
вирус на компе размножается заражая exe'шники win32.sector.5 - проверил флэшку, которую туда вставлял
Последний раз редактировалось mic149; 16.06.2008 в 15:52. Причина: Добавлено
теперь нарушены ассоциации с exe - не запускается hijackthis, но компьютер почти ожил
Последний раз редактировалось mic149; 19.06.2008 в 22:01.
восстановил ассоциации
Последний раз редактировалось mic149; 19.06.2008 в 22:09.
скачайте C:\WINDOWS\System32\Drivers\Flr85.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}'); DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}'); DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}'); QuarantineFile('C:\WINDOWS\system32\uituaacs.dll',''); QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\helloserv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe',''); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe',''); QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\Documents and Settings\Ирина\svchost.exe',''); BC_DeleteSvc('Vbg27'); QuarantineFile('C:\WINDOWS\System32\drivers\Vbg27.sys',''); BC_DeleteSvc('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd85.sys',''); BC_DeleteSvc('msdvdDrv'); QuarantineFile('C:\WINDOWS\system32\msdvdr.sys',''); BC_DeleteSvc('aic32p'); QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys',''); BC_DeleteSvc('Flr85'); BC_DeleteSvc('System Event Browser'); QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe',''); BC_DeleteSvc('Schedule'); QuarantineFile('C:\WINDOWS\system32\msdvdr.pif',''); BC_DeleteSvc('msdvdr'); QuarantineFile('C:\Documents and Settings\Ирина\ie_updates3r.exe',''); BC_DeleteSvc('Google Online Services'); QuarantineFile('C:\WINDOWS\system32\Drivers\Flr85.sys',''); QuarantineFile('C:\WINDOWS\system32\mlJApPIB.dll',''); QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll',''); QuarantineFile('c:\temp\60.com',''); DeleteFile('c:\temp\60.com'); DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll'); DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Flr85.sys'); DeleteFile('C:\Documents and Settings\Ирина\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\msdvdr.pif'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\sysbrw32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys'); DeleteFile('C:\WINDOWS\system32\msdvdr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Vbg27.sys'); DeleteFile('C:\Documents and Settings\Ирина\svchost.exe'); DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe'); DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\helloserv.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\appmgmtu.exe'); DeleteFile('C:\WINDOWS\system32\uituaacs.dll'); DeleteFile('WinCtrl32.dll'); DeleteFile('WinNt64.dll'); DeleteFile('ddcBRkji.dll'); DeleteFile('sockins32.dll'); DeleteFile('C:\WINDOWS\services.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
все-равно висит в памяти win32.sector.7
...карантин через 3 мин и заражает файлы win32.sector.5
Куритом с диска проверяли?
да, а он что заражен может быть?
а после курита бесполезно запускать авз и хайджеквис?
сейчас перезагружу тогда компьютер и выполню эти прогаммы.
курит, по ходу, убил файлы в карантине....
------------
...опять выполнить скрипт?
Последний раз редактировалось mic149; 16.06.2008 в 17:15.
как состояние?
чисто или нет?
Последний раз редактировалось mic149; 19.06.2008 в 22:09.
как насчет ответа сегодня?
...пожалуйста...
вы за убитый карантин обиделись?
я больше не буду
Мы не можем при помощи AVZ, к сожалению, лечить файловые вирусы. Куреит с СД запускали? "Восст. системы" религия отключить не позволяет?
Загрузить карантин и сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe',''); DeleteService('Qwd85'); SetServiceStart('Qwd85', 4); QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys',''); SetServiceStart('aic32p', 4); DeleteService('aic32p'); QuarantineFile('c:\temp\60.com',''); DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\appmgmtu.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll'); DeleteFile('sockins32.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepait(1); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
отключил восстановление системы,
пролечил все куритом с сидишника.
но после курита, все равно какая-то гадость сидит в памяти и всё заражает - начинаешь проверять во второй раз - опять находит зараженные файлы, но в памяти зараженных процессов не видит при этом.
логи:
после этих логов выполню скрипт и после перезагрузки пришлю новые логи
Последний раз редактировалось mic149; 19.06.2008 в 22:09.
после скрипта:
...карантин пустой...
что-то как-то бесперспективно, блин
переставлять винду?
есть кто-нибудь?
Последний раз редактировалось mic149; 19.06.2008 в 22:09.
!!! помогите пожалуйста !!!
Давай попробуем вот так:
После этого сделай новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll',''); QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe',''); DeleteService('Winqv74'); QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd85.sys',''); DeleteService('Qwd85'); QuarantineFile('c:\temp\60.com',''); DeleteFile('c:\temp\60.com'); DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys'); DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe'); DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот...
60.com - это avz, т.к. просто avz не запускается - мне его с virusinfo прислали
---------
сейчас аваста установлю - старого вирусы затравили
начал ставить аваста - комп перегрузился
Последний раз редактировалось mic149; 19.06.2008 в 22:09.
в IceSword C:\WINDOWS\system32\drivers\gsmohn.sys -- force delete
выпроните скрипрт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}'); DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}'); BC_DeleteSvc('Qwd85'); BC_DeleteSvc('aic32p'); DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys'); DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll'); DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сейчас сделаю....
....но, извините если я не в тему
этот вирус заражает почти ВСЕ exe'шники
и при загрузке Винды всё по идее опять заражается, но я не спец конечно...
кстати, там нет такого файла, бл*********** (C:\WINDOWS\system32\drivers\gsmohn.sys)
Уважаемый(ая) mic149, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.