-
Junior Member
- Вес репутации
- 51
Вирус dnsq.dll + autorun.inf
Здравствуйте. Нужна помощь. Не удается удалить вирус: AVZ запускается только полиморфный, находит вирус в \sistem23\dnsq.dll, но удалить не может, просит перезагрузить для удаления, не помогает. При этом создаются autorun.inf и pagefile.pif на дисках C: и D:, в свойстве папок не включается пункт "Показывать скрытые фай...", IE зависает сразу после запуска. После удаления всех этих файлов через загрузку с LiveCD появляются снова при перезагрузке, часто зависает при выключении. HiJack выдает ошибку во время сканирования, сканирование заканчивает, но лог создает пустой. AVZ логи создал.
PS: Ноут не мой.
Последний раз редактировалось AndreyKa; 24.06.2010 в 13:23.
Причина: карантин в теме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
virusinfo_cure.zip из вложений удалите
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1117286355-4178929903-327478016-7388\sysdate.exe','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1117286355-4178929903-327478016-7388\sysdate.exe');
DeleteFile('C:\pagefile.pif');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (их должно быть три и только те, что указаны в правилах) + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил.
За логи извините, читал внимательно и всё равно промазал, вот первоначальный лог virusinfo_syscure.zip. Пустой лог HiJack`а отправлять не стал.
-
Сообщение от
mar_konst
Пустой лог HiJack`а отправлять не стал.
Что значит пустой?
Нужны еще логи virusinfo_syscheck.zip и gmer
-
-
Junior Member
- Вес репутации
- 51
Т.е. файл HiJackthis.log создается, но размер его 0 байт, и информации в нем нет, при этом сама программа HiJackthis зависает.
Syscheck.zip из этого комплекта в начале темы, свежие логи AVZ еще создаются.
Пожалуйста подскажите где про gmer прочитать, в правилах ни чего нет.
Вот и логи AVZ свежие готовы
-
Junior Member
- Вес репутации
- 51
С Хайджеком такие же проблемы. Про гмер понял, еще раз извините. Туплю чего-то
Добавлено через 43 минуты
При сканировании ГМЕРом вылетает в синий экран
Добавлено через 10 минут
По ГМЕРу: два раза вылетал после минут 5 сканирования, далее сразу же, в начале сканирования комп выключается
Последний раз редактировалось mar_konst; 24.06.2010 в 14:56.
Причина: Добавлено
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_QrSvc('eooobvi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(12);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Попробуйте сделать новые логи
-
-
В дополнение к Defest
Сообщение от
mar_konst
По ГМЕРу: два раза вылетал после минут 5 сканирования
Сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Вот логи AVZ. С HiJack`ом все так же. Лог gmer`a не полный, что успел сохранить до того как выключился комп. Сейчас ComboFix`ом проверю.
-
Junior Member
- Вес репутации
- 51
Сделал лог ComboFix`a. Консоль востановления установить не удалось. После проверки ComboFix`a удалось создать лог HiJack. При этом всех зловредных файлов не было, после попытки запуска AVZ они снова появились.
-
mar_konst, карантин загрузите.
Распакуйте файл mbrcure.zip. Запустите его. Приложите сюда файл log.txt, а файл quarantine.zip пришлите через ссылку Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 51
не удалось сделать так, выдает сообщение об ошибке и закрывает программу
-
Отключите службу восстановления системы (см. Приложение 1 Правил).
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('c:\windows\system32\com\lsass.exe','');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\eooobvi');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\eooobvi\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\eooobvi\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\eooobvi');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\eooobvi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\pagefile.pif - Virus.Win32.Xorer.ej ( DrWEB: Win32.HLLP.Rox.9, BitDefender: Worm.Generic.77729, AVAST4: Win32:Xorer-N )
- c:\windows\system32\com\lsass.exe - Virus.Win32.Xorer.ej ( DrWEB: Win32.HLLP.Rox.9, BitDefender: Worm.Generic.77729, AVAST4: Win32:Xorer-N )
- c:\windows\system32\com\smss.exe - Virus.Win32.Xorer.dt ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DU, NOD32: Win32/Xorer.DR virus, AVAST4: Win32:Xorer-I )
- c:\windows\system32\dnsq.dll - Virus.Win32.Xorer.ee ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.ED, NOD32: Win32/Xorer.NAD virus, AVAST4: Win32:Agent-ABCY [Trj] )
-