не могу ни как побороть, после лечения все появляется снова
не могу ни как побороть, после лечения все появляется снова
Последний раз редактировалось sergb; 31.03.2009 в 13:49.
Мало опыта, но быстро учусь
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\w.exe',''); QuarantineFile('C:\WINDOWS\system\1.exe',''); QuarantineFile('c:\windows\system32\iexplorer.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\ati2psag.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\lrk.sys',''); QuarantineFile('C:\WINDOWS\system32\tching.exe',''); QuarantineFile('C:\WINDOWS\system32\snetcfg.exe',''); QuarantineFile('C:\WINDOWS\system32\YoUsx\J002.exe',''); QuarantineFile('C:\WINDOWS\system32\SafeTest.exe',''); QuarantineFile('C:\WINDOWS\system32\realplay.exe',''); QuarantineFile('C:\WINDOWS\system32\wItwp\J003.exe',''); QuarantineFile('C:\WINDOWS\system32\Events.exe',''); QuarantineFile('C:\WINDOWS\system32\oOu\J002.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\lrk.sys',''); QuarantineFile('c:\windows\system32\yzerhw.dll',''); QuarantineFile('c:\windows\system32\fyddos.dll',''); QuarantineFile('C:\WINDOWS\system32\cmms.exe',''); QuarantineFile('C:\WINDOWS\ActiveX\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\migpwd.exe',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\migpwd.exe'); DeleteFile('C:\WINDOWS\ActiveX\svchost.exe'); DeleteFile('C:\WINDOWS\system32\cmms.exe'); DeleteFile('c:\windows\system32\fyddos.dll'); DeleteFile('c:\windows\system32\yzerhw.dll'); DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne'); DeleteFile('C:\WINDOWS\system32\oOu\J002.exe'); DeleteFile('C:\WINDOWS\system32\Events.exe'); DeleteFile('C:\WINDOWS\system32\wItwp\J003.exe'); DeleteFile('C:\WINDOWS\system32\realplay.exe'); DeleteFile('C:\WINDOWS\system32\SafeTest.exe'); DeleteFile('C:\WINDOWS\system32\YoUsx\J002.exe'); DeleteFile('C:\WINDOWS\system32\snetcfg.exe'); DeleteFile('C:\WINDOWS\system32\tching.exe'); DeleteFile('C:\WINDOWS\system32\drivers\lrk.sys'); DeleteFile('C:\WINDOWS\system32\ati2psag.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('c:\windows\system32\iexplorer.exe'); DeleteFile('C:\WINDOWS\system\1.exe'); DeleteFile('C:\WINDOWS\system32\w.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/forumdisplay.php?f=46).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
вот новые логи, карантин тоже послал
Outpost Firewall все ругается на вирус, рисунок приложен
Последний раз редактировалось sergb; 26.02.2009 в 14:54.
Мало опыта, но быстро учусь
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msrstart.exe',''); DeleteService('hnrkpm'); DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys'); DeleteFile('C:\WINDOWS\system32\msrstart.exe'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('hnrkpm'); BC_Activate; RebootWindows(true); end.
вот новые логи и карантин, но все равно все просит, прикладываю
Последний раз редактировалось sergb; 31.03.2009 в 13:49.
Мало опыта, но быстро учусь
Скачайте этот AVZ http://depositfiles.com/files/821x5y5lf
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('hnrkpm'); DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne'); DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('hnrkpm'); BC_Activate; RebootWindows(true); end.
вот логи, и все время в интернет эксплоере стартовая страница все эта выскакивает, как ни удаляешь ее
Последний раз редактировалось sergb; 31.03.2009 в 13:49.
Мало опыта, но быстро учусь
Отключить Spybot. Сменить стартовую страницу и перезагрузиться, не включая Spybot.
Он может наблюдать за этим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
а как с логами
Добавлено через 3 минуты
прога Trojan Remover класная, еще остатки все дочистила,
Добавлено через 4 минуты
один фиг, сайт этот ставит по умолчанию
Последний раз редактировалось sergb; 20.02.2009 в 18:21. Причина: Добавлено
Мало опыта, но быстро учусь
Выполнить:
Селать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\yzerhw.dll',''); QuarantineFile('FCI.sys',''); DeleteService('FCI'); QuarantineFile('C:\WINDOWS\system32\IqiPrFK.dll',''); DeleteFile('C:\WINDOWS\system32\Drivers\FCI.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
все равно как не вырезаешь из реестра, все равно на эту стартовую страницу делает
Мало опыта, но быстро учусь
вот логи и эту он гадость кто-то пишет, т.к программа просит разрешения на изменения, если жмешь запретить, то можно до бесконечности нажимать
Последний раз редактировалось sergb; 31.03.2009 в 13:49.
Мало опыта, но быстро учусь
все отключено при выполнениии скриптов
Мало опыта, но быстро учусь
удалил и сделал новые логи
Последний раз редактировалось sergb; 12.05.2009 в 15:52.
Мало опыта, но быстро учусь
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Сделайте поную проверку AVPTool и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{72853161-30C5-4D22-B7F9-0BBC1D38A37E}'); DeleteService('BSServerName'); DeleteService('FCI'); DeleteFile('C:\WINDOWS\system32\IqiPrFK.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\lrk.sys'); DeleteFile('C:\WINDOWS\System32\FYDDOS.dll'); DeleteFile('C:\WINDOWS\System32\yzerhw.dll'); DeleteFile('C:\WINDOWS\system32\msrstart.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('BSServerName'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
проверил, нашел еще гадость, вот новые логи
Последний раз редактировалось sergb; 12.05.2009 в 15:52.
Мало опыта, но быстро учусь
Теперь все нормально.
Можно еще эту строчку пофиксить для порядка:
Рекомендуется установить SP3 + последующие обновления.O20 - Winlogon Notify: ati2paag - C:\WINDOWS\
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 104
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system\1.exe - Trojan.Win32.Agent.brnh
- c:\windows\system32\cmms.exe - Trojan-Dropper.Win32.Agent.ahfv
- c:\windows\system32\drivers\lrk.sys - Trojan-Downloader.Win32.RtkDL.fms
- c:\windows\system32\events.exe - Rootkit.Win32.Agent.hgy
- c:\windows\system32\fyddos.dll - Trojan-Downloader.Win32.Small.ajfl
- c:\windows\system32\msrstart.exe - Trojan.Win32.Agent.brnj
- c:\windows\system32\safetest.exe - Trojan-Dropper.Win32.Agent.ahfw
- c:\windows\system32\snetcfg.exe - Rootkit.Win32.Agent.hgy
- c:\windows\system32\tching.exe - Trojan.Win32.Agent.brni
- c:\windows\system32\w.exe - Trojan-PSW.Win32.Delf.dkb
- c:\windows\system32\yzerhw.dll - Backdoor.Win32.PcClient.admy
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) sergb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.