заражен процесс. каспер не лечит, может только пропустить ((
при запуске первого скрипта в АВЗ при выключенном инете 5 раз вылитал так и не дойдя до конца(( поэтому сделал при включенном инете
заражен процесс. каспер не лечит, может только пропустить ((
при запуске первого скрипта в АВЗ при выключенном инете 5 раз вылитал так и не дойдя до конца(( поэтому сделал при включенном инете
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
1. Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлыНажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением измените расширение на ddd.C:\WINDOWS\System32\drivers\ati7ntxx.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\ati3jpxx.sys
C:\WINDOWS\System32\rs32net.exe.
Затем.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\ati7ntxx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3jpxx.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); BC_ImportAll; BC_DeleteSvc('ati5nuxx'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('ati3jpxx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33018
Скопированные при помощи IceSword файлы запакуйте в архив под пароль virus и вышлите по той же ссылке.
Повторите логи.
C:\WINDOWS\System32\drivers\ati7ntxx.sys - сделал
C:\WINDOWS\System32\drivers\tcpsr.sys - не было файла
C:\WINDOWS\System32\Drivers\ati3jpxx.sys - не было файла
C:\WINDOWS\System32\rs32net.exe. - сделал
при создании архива каспер убил ati7ntxx.ddd так что в архиве copyed только rs32net.ddd ...
скрипт лечени/карантина больше так не разу до конца и не дошел. вылетает. лога нет ((
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
Правила читайте, как присылать карантин...
ой блин... простите, я вроде второй раз карантин по запарке послал во вложении... просто все что в папке а отправку было отправил. впредь буду внимателен. извените
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati7ntxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ntxx.sys'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ati7ntxx'); BC_Activate; RebootWindows(true); end.
скрипт лечени/карантина снова отвалился на 67% при "попытке доступа к адрессу в памяти... такой-то"
логи
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин, вы антивирус выгружаете на время проверки?Код:begin ClearQuarantine; SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
выгружаю. стоит каспер. сам антивир выгружается, а агент администрирования не выгружается (klnagent.exe).
сейчас будет карантин
логи делать?
карантин загрузил
скрипт лечени/карантина снова отвалился на 66%
вот логи.
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
Файл чистый, жалобы есть?
да вроде бы нет...
Пока ждал ответа запустил ДрВеба быструю проверку, он нашел
c:\programm files\internet explorer\
c:\programm files\opera\
какую-то дрянь троян.даунлоадер (файл что-то типа *set*.dll не помню) название не запомнил
ДрВеб их куда-то "переместил", я почистил корзину и темпы.
стал проверять каспером эти места, система вырубилась через синий экран...
после перезагрузки пока все тихо.
смущает только карантин АВЗ - там
c:\windows\system32\drivers\yaprdr.sys
я его на всякий АйсСвордом покоцал. Нечего страшного или зря я?
Спасибо за помощь!
пысы: нашел что есть C:\WINDOWS\system32\drivers\yaprdr.sys - часть KidsControl, давно удален, так что пусть покоится с миром
Еще раз спасибо!
два дня вроде все тихо было... и снова здорова.
появился
C:\WINDOWS\System32\rs32net.exe - правда, каспер его замочил
и
C:\WINDOWS\System32\drivers\ati*xx.sys
* - разные цифры, появлялся несколько раз. каспер их каждый раз мочит.
зараза проявляется при загрузке
может чего не дочистил?
вот логи.
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
значит за эти 2 дня не успели выполнить http://virusinfo.info/showthread.php?t=30339 , и опять заразились
yaprdr.sys- тоже удалим, раз не нужен.
в логах ваш друг есть,отключить каспера и выполнить скрипт @ авз
После перезагрузки:Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\w.ax',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0000\wb.vx',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\vps\0001\url.ax',''); TerminateProcessByName('c:\windows\system32\rs32net.exe'); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); DeleteService('yaprdr'); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\drivers\yaprdr.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('yaprdr'); BC_DeleteSvc('tcpsr.sys'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось drongo; 01.11.2008 в 11:27.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделал. ребутнулся. каспер вроде пока ничего не видит.
карантин больно большой получается... точно это все вирусы (см. картинку во вложении)? отправить могу. ~24mb слать?
загрузил карантин
вот логи
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
пока ждал ответа просканил каспером
c:\documents and settings\admin\local settings\temporary internet files\content.ie5\fellpm42\kb908380[1].exe - троян даунлоадер - завалил
вычистил темпы с помощью CCleaner
что с логами? жить буду?
Последний раз редактировалось Pokee; 01.11.2008 в 13:42.
В логах чисто, выполните полную проверку CureIT...
Уважаемый(ая) Pokee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.