-
Junior Member
- Вес репутации
- 57
Не могу победить трояны Generic.dx и Cutwail.gen
Добрый день, уважаеме господа. Прошу помощи в борьбе с троянами Generic.dx и Cutwail.gen. Внимательно прочитав Ваши рекомендации селал все как рекомендуется, но не помогло. Сформировал диагностические файлы и предоставляю Вам с надеждой помощи. У меня установлен антивир McAfee и я не знаю как его отключить перед диагностикой. Поэтому всю диагностику делал с включенным. Снести его боюсь, так как он блокирует троянов. Буду очень Вам признателен за помощь.
Последний раз редактировалось Кромвель; 25.03.2009 в 21:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('netwrp.dll','');
QuarantineFile('WinCtrl32.dll','');
DeleteService('Winul42');
DeleteService('Winqx64');
DeleteService('Winhn31');
DeleteService('Winfn42');
DeleteService('Winem07');
DeleteService('Winel41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winem07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winel41.sys','');
DeleteService('UIUSys');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
DeleteService('ati8lsxx');
DeleteService('ati8hoxx');
DeleteService('ati8fmxx');
DeleteService('ati8bixx');
DeleteService('ati6jpxx');
DeleteService('ati6hoxx');
DeleteService('ati5ioxx');
DeleteService('ati3wexx');
DeleteService('ati3ryxx');
DeleteService('ati3krxx');
DeleteService('ati3jqxx');
DeleteService('ati0jrxx');
DeleteService('ati0gnxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0jrxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0gnxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0gnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0jrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3jqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3krxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ryxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3wexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ioxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6hoxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6tdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8bixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8fmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8hoxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8lsxx.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\btwdndis.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\btwhid.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\btwusb.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Winel41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winem07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winul42.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('netwrp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
любезно предоставленный Вами скрипт выполнен без ошибок, карантин я Вам переслал, проблема не исчезла. Повторно логи предоставлю завтра.
-
Junior Member
- Вес репутации
- 57
предоставляю повторные логи, буду благодарен за дальнейшие рекомендации.
Последний раз редактировалось Кромвель; 25.03.2009 в 21:06.
-
отключите восстановление системы !
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winwe75');
DeleteService('Winry76');
DeleteService('Wingn07');
DeleteService('Windc75');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winry76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windc75.sys','');
QuarantineFile('c:\documents and settings\dasha\s87ekhv.exe','');
DeleteFile('c:\documents and settings\dasha\s87ekhv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Windc75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe75.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
скрипт выполнен без ошибок, повторные логи готовлю. Прошу Вас указать после выполнения скрипта мне включить восстановление системы или оставить отключенным???
-
восстановление не включать до конца лечения ...
-
-
Junior Member
- Вес репутации
- 57
скажите, пожалуйста, при формировании файлов AVZ выполнять проверку дисков???
-
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось Кромвель; 25.03.2009 в 21:06.
-
Junior Member
- Вес репутации
- 57
запрашиваемый файл карантина отправлен. Жду дальнейших рекомендаций.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MSNCHATHOOK.DLL','');
QuarantineFile('C:\Documents and Settings\Dasha\drwvas.exe','');
DeleteService('Winsa20');
DeleteService('Winnu75');
DeleteService('Winhp53');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa20.sys');
DeleteFile('C:\Documents and Settings\Dasha\drwvas.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось Кромвель; 25.03.2009 в 21:06.
-
Junior Member
- Вес репутации
- 57
Уважаемый, Сеньйор ХЕЛПЕР, скажите, сегодня еще рекомендации будут??? хотелось бы знать есть шанс излечить комп без переустановки винды и форматирования винта???
-
пофиксите
Код:
O20 - Winlogon Notify: netwrp - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
что с проблемами ?
-
-
Junior Member
- Вес репутации
- 57
профиксил по указаным Вами кодам, McAfee троянов пока не обнаруживает, комп самовльно не перегружается. Надеюсь что всё закончилось, но я думаю окончательно это станет понятно в ближайшие несколько дней.
-
Junior Member
- Вес репутации
- 57
Прошу Вас помочь.
Старые проблемы (или скорее всего уже новые) появились на компе. Буду рад любой Вашей помощи.
Последний раз редактировалось Кромвель; 25.03.2009 в 21:06.
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\Dasha\LOCALS~1\Temp\a.exe','');
QuarantineFile('C:\DOCUME~1\Dasha\LOCALS~1\Temp\~tmpa.exe','');
QuarantineFile('c:\docume~1\dasha\locals~1\temp\~tmpc.exe','');
QuarantineFile('c:\docume~1\dasha\locals~1\temp\a.exe','');
DeleteFile('c:\docume~1\dasha\locals~1\temp\a.exe');
DeleteFile('c:\docume~1\dasha\locals~1\temp\~tmpc.exe');
SysCleanAddFile('C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe');
DeleteFile('C:\DOCUME~1\Dasha\LOCALS~1\Temp\~tmpa.exe');
DeleteFile('C:\DOCUME~1\Dasha\LOCALS~1\Temp\a.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 57
Уважаемый Хелпер, я не дождался ответа в этой теме и открыл новую. http://virusinfo.info/showthread.php?p=342388
Но возникли новые проблемы с которыми я не могу справиться.
Помогите пожалуйста.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dasha\\drwvas.exe - Trojan-Dropper.Win32.Agent.absu (DrWEB: Trojan.DownLoad.2077)
-