Здравствуйте.
При каждом последующем запуске АВЗ число перехваченных функций возрастает.
Помогите почистить пожалуйста.
Здравствуйте.
При каждом последующем запуске АВЗ число перехваченных функций возрастает.
Помогите почистить пожалуйста.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\orgmml.sys',''); QuarantineFile('C:\WINDOWS\System32\LIBMYSQL.dll',''); QuarantineFile('c:\windows\system32\cmptes.dll',''); QuarantineFile('C:\WINDOWS\System32\capisrv.dll',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('asc3360pr'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50998).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Результат загрузки
Файл сохранён как 090730_124106_virus_4a715ca256d71.zip
Размер файла 1458054
MD5 e64d7b395ac060a42bf157fc722947d2
Сделал.
Еще почему-то NOD стал выкатывать после загрузки (и потом периодически) ровно по 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('Universal Plug and Play Device Net Host'); QuarantineFile('C:\WINDOWS\SSWG8-15.exe',''); DeleteFile('C:\WINDOWS\System32\capisrv.dll'); DeleteFile('C:\WINDOWS\System32\LIBMYSQL.dll'); DeleteFile('C:\WINDOWS\SSWG8-15.exe'); DeleteService('Universal Plug and Play Device Net Host'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Universal Plug and Play Device Net Host'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению
Результат загрузки
Файл сохранён как 090730_143645_virus_4a7177bd9424b.zip
Размер файла 578
MD5 c98946adc6b10b976990a6c862d96355
Все сделал.
Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)
В логах чисто. Жалобы есть?
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader
Удалите его через диспетчер оборудования.
По поводу SP3 попробую (вообще комп не мой).
NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
Похоже их (троянов) порождает что-то на компьютере
Результат загрузки
Файл сохранён как 090730_160127_virus_4a718b9704769.zip
Размер файла 437203
MD5 7a2df281b272b6a07433bba3f8ba1fa4
В NODе не нашел выгрузки карантина во внешний файл, отправил Вам сжатую папку Infected (пароль virus)? думаю, что это он.
Спасибо, карантин получен
Выполните ещё тут: http://virusinfo.info/showpost.php?p=435039&postcount=2
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
Сделал
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('WinHelp32'); StopService('WcsSrv'); QuarantineFile('C:\WINDOWS\System32\capisrv.dll',''); QuarantineFile('c:\windows\system32\cmptes.dll',''); QuarantineFile('C:\Program Files\Common Files\Svc.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); DeleteFile('C:\WINDOWS\System32\capisrv.dll'); DeleteFile('c:\windows\system32\cmptes.dll'); DeleteFile('C:\Program Files\Common Files\Svc.exe'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WinHelp32'); BC_DeleteSvc('WcsSrv'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Результат загрузки
Файл сохранён как 090731_120255_virus_4a72a52f836ac.zip
Размер файла 876664
MD5 10c6b8c236b4956c5027ce16657b6754
Сделал
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('ERSvc'); StopService('9954DCC8'); QuarantineFile('C:\WINDOWS\Fonts\31C7D188.DLL',''); QuarantineFile('C:\WINDOWS\system32\drivers\ERSvc.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\ERSvc.sys'); QuarantineFile('C:\WINDOWS\Fonts\F8E878D0.EXE',''); DeleteService('ERSvc'); DeleteService('9954DCC8'); DeleteFileMask('C:\WINDOWS\Fonts','*.EXE', false); DeleteFileMask('C:\WINDOWS\Fonts','*.dll', false); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(True); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Результат загрузки
Файл сохранён как 090731_142122_virus_4a72c5a2915d1.zip
Размер файла 1742
MD5 b0a363fc0e5eba90f434c32fa6acfc86
Сделал
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 62
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\svc.exe - Backdoor.Win32.Agent.ajcb ( DrWEB: BackDoor.RemoteABC.9 )
- c:\windows\fonts\f8e878d0.exe - Trojan-Dropper.Win32.Agent.aypv ( DrWEB: Trojan.MulDrop.33051, BitDefender: Win32.Worm.Winko.I )
- c:\windows\system32\capisrv.dll - Backdoor.Win32.Rbot.krn ( DrWEB: Trojan.SqlShell.5, BitDefender: Worm.Hosete.A )
- c:\windows\system32\capisrv.dll - Exploit.Win32.SqlShell.h ( DrWEB: Trojan.SqlShell.4, BitDefender: Backdoor.Agent.AAHP )
- c:\windows\system32\cmptes.dll - Trojan-Downloader.Win32.Agent.ckvw ( DrWEB: Trojan.DownLoad.42029, BitDefender: Worm.Hosete.A )
- c:\windows\system32\libmysql.dll - Exploit.Win32.SqlShell.i ( DrWEB: Exploit.MySql.3 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaaf ( DrWEB: Trojan.PWS.Panda.114 )
- c:\windows\system32\winhelp32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad.42056, BitDefender: Gen:Trojan.Heur.P.hC0@e4DmIshb )
- \virus\c22jilca.nqf - Trojan-Downloader.Win32.Agent.cjey ( DrWEB: BackDoor.ClDdos )
- \virus\grfft0aa.nqf - Trojan-Downloader.Win32.Apher.at ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )
- \virus\hlkftkaa.nqf - Trojan-Downloader.Win32.Agent.ckyz ( BitDefender: Trojan.Rincux.AW )
- \virus\ryqqcraa.nqf - Trojan-Dropper.Win32.Agent.ayqf ( DrWEB: Trojan.MulDrop.32540 )
- \virus\tco5wrca.nqf - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW )
- \virus\tlxhrqca.nqf - Trojan-DDoS.Win32.Agent.gd ( DrWEB: Trojan.MulDrop.29482 )
- \virus\yis0vpca.nqf - Backdoor.Win32.Agent.aioe ( DrWEB: DDoS.Attack.238, BitDefender: Backdoor.Hupigon.145523 )
- \virus\zuwfxlba.nqf - Backdoor.Win32.Small.iey ( DrWEB: BackDoor.Spy.37, BitDefender: Trojan.Rincux.AW )
- \virus\0i2wctca.nqf - Trojan-Downloader.Win32.Delf.uwc ( DrWEB: BackDoor.Darkshell.71 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.