Есть подозрения, что блокирует доступ в интернет. AVP Tool нашел файлик, но удалить не смог. Bitdefender, правда демо версия, не находит.
Есть подозрения, что блокирует доступ в интернет. AVP Tool нашел файлик, но удалить не смог. Bitdefender, правда демо версия, не находит.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Выполните скрипт в AVZКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{2E84703C-0B3A-4AB1-B4CA-04476608CBC6}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\..\{DB9873EC-9512-4FF3-8FE5-9A9A9B50E6BF}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\ctfmon.exe',''); QuarantineFile('C:\Program Files\\WinMessenger\Setup\Setup.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\tnzbrg.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\tnzbrg.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman'); DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
карантин отправил, логи отсылаю. Gmer видимо нашел что-то.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys'); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxkmpqmfta.sys',''); QuarantineFile('C:\WINDOWS\system32\gaopdxducbvmet.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- Сохраните текст ниже как 1.bat в ту же папку, где находится zxgl9qw5.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:zxgl9qw5.exe -del service gaopdxserv.sys zxgl9qw5.exe -del file "C:\WINDOWS\system32\drivers\gaopdxkmpqmfta.sys" zxgl9qw5.exe -del file "C:\WINDOWS\system32\gaopdxducbvmet.dll" zxgl9qw5.exe -del file "C:\WINDOWS\system32\gaopdxcounter" zxgl9qw5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" zxgl9qw5.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys" zxgl9qw5.exe -reboot
После перезагрузки:
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
- Сделайте новый лог Gmer
Получилось, что не было доступа к компу 3 дня. При попытке выполнить скрипт, выскакивает сообщение:Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [14]
на всякий случай еще раз высылаю логи
что дальше делать-то?
Еще что-нибудь беспокоит?
Если файл карантина не пустой - пришлите его по красной ссылке вверху темы.
- поставте Adobe Reader 9.3 или удалите старый.
Дело в том, что не проходит предыдущий скрипт, я уже указал что появляется(Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [14]). При запуске Gmer после быстрого сканирования есть процессы gao****.
Добавлено через 1 час 17 минут
после переустановки Readera скрипт нормально прошел. Отправил карантин. Логи попозже вышлю
Последний раз редактировалось daimoh; 15.06.2010 в 12:41. Причина: Добавлено
высылаю логи
подозрительного не увидел
Gmer вроде тоже ничего подозрительного не нашел. Спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\tnzbrg.exe - P2P-Worm.Win32.Palevo.alhz ( DrWEB: Trojan.Packed.20388, BitDefender: Backdoor.Generic.369597 )
- c:\documents and settings\администратор\ctfmon.exe - P2P-Worm.Win32.Palevo.fuc ( DrWEB: Trojan.Packed.20388 )
Уважаемый(ая) daimoh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.