Помогите, пожалуйста.
Логи.
Помогите, пожалуйста.
Логи.
Отключите восстановление системы, как написано в правилах.
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Dhk15.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%system32%\clbdll.dll',''); QuarantineFile('c:\program files\internet explorer\setupapi.dll',''); QuarantineFile('%system32%\drivers\clbdriver.sys',''); QuarantineFile('C:\WINDOWS\system32\ISBMain.dll',''); QuarantineFile('C:\WINDOWS\system32\isb4_help.dll',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\fileIo.dll',''); QuarantineFile('C:\WINDOWS\system32\dtpick4.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\TEMP\NT1BCF32.exe/r',''); QuarantineFile('C:\WINDOWS\TEMP\NT1BCF32.exe',''); QuarantineFile('C:\WINDOWS\system32\upc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Dhk15.sys',''); QuarantineFile('C:\WINDOWS\System32\WS2_32.dll',''); QuarantineFile('C:\WINDOWS\system32\basepqbrq32.dll',''); DeleteFile('C:\WINDOWS\system32\Drivers\Dhk15.sys'); DeleteFile('C:\WINDOWS\TEMP\NT1BCF32.exe/r'); DeleteFile('C:\WINDOWS\TEMP\NT1BCF32.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dl_'); DeleteFile('%system32%\drivers\clbdriver.sys'); DeleteFile('%system32%\clbdll.dll'); DeleteFile('c:\program files\internet explorer\setupapi.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Dhk15'); BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27242 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Скачайте новую версию AVZ - ссылка в правилах и обновите ее базы. У Вас старая версия.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выполнять ли действия, если я не могу отключить "Восстановлене системы" через "Мой компьютер-Свойства" (появляется эта же ошибка)?
Удалось отключить "Восстановление системы" только после скрипта. Ошибка не появляется.
Спасибо огромное!!!
Файл Dhk15.sys прислал. Там вирус?
Логи.
Да, там вирус - мы здесь хорошие файлы не удаляем. Вы прислали не все, нужно прислать все файлы из карантина согласно приложению 3 правил.
Выполните скрипт в новой версии AVZ:
После перезагрузки пришлите карантин.Код:begin SetAVZGuardStatus(True); QuarantineFile('D:\autorun.wsh',''); QuarantineFile('C:\autorun.wsh',''); DelWinlogonNotifyByKeyName('WLCtrl32'); DeleteFile('C:\WINDOWS\system32\basepqbrq32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
В AVZ теперь 2 папки, за сегодняшнее число и за вчерашнее. Не знаю,как отослать обе, поэтому прислал только за сегодня (после выполнения скрипта). За вчера тоже отослать?
Добавлено через 12 минут
Отослал еще и за вчера, но с другим именем, со вчерашней датой.
Последний раз редактировалось RobinWilliams; 30.07.2008 в 11:39. Причина: Добавлено
Повторите логи, плиз.
Dhk15.sys - Trojan-Downloader.Win32.Mutant.aim
Другой карантин чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скажите, теперь надо только очистить папку с подозрительными файлами в AVZ или только Dhk15.sys?
Логи.
Профиксить для порядка:
F2 - REG:system.ini: UserInit=userinit.exe
Выполнить скрипт:
Сделать новые логи с п.10 ПравилКод:begin ClearHostsfile; end.
Как все закончим, так можно будет и почистить карантин AVZ/
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Новые логи.
E:\autorun.vbs - вот такое поищи. Думаю, проживает, или проживало на флешке.
Его запускают autorun c C & D
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, точно! На флешке есть такой файл. Его просто удалить оттуда? Если я вставлю флешку в компьютер, чтобы удалить его, он не запустит опять какой-нибудь вирус?
Есть три варианта: 1- отключить Автозапуск с флешки. Это смотри в "Чаво", там есть тема на этот счет.
2 - вставить флешку с нажатым Shift. Это должно отменить Автозапуск
3 - через Мастер решения проблем отключить Автозапуск
По мне самый лучший - первый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все, удалил. А там опасный вирус (я эту флешку и на другом компьютре использовал, не зная что там вирус)?
Теперь очистить все в AVZ?
Жалко. В карантин его надо было засунуть. Он ведь что-то еще запускал
Чаще всего он ворует пароли от онлайн-игрушек, так что если играете, то их надо менять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Могу его вытащить из корзины. Там было еще много приложений к нему - .exe,.bat, скрипт и т.д.
Он вам интересен, или я неправильно понял?
Да, присылайте их сюда http://virusinfo.info/upload_virus.php?tid=27242 в архиве с паролем virus.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Извините, наверное, не получится. Видимо, файлы удаляются с флешки, минуя "Корзину".
Особая благодарность PavelA, kps! И сайту в целом.
Спасибо большое за помощь!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\свп\\рабочий стол\\dhk15.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037)
- c:\\windows\\system32\\basepqbrq32.dll - Trojan.Win32.Agent.wrp (DrWEB: Trojan.Okuks.53)
- c:\\windows\\system32\\drivers\\clbdriver.sys - Rootkit.Win32.Clbd.b (DrWEB: Trojan.NtRootKit.1046)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.bj (DrWEB: Trojan.DownLoader.54123)
- c:\\windows\\system32\\ws2_32.dll - Trojan.Win32.Patched.di
Уважаемый(ая) RobinWilliams, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.