-
Junior Member
- Вес репутации
- 51
после лечения не обновляется антивир
Здраствуйте спецы. Я просто пользователь. Есть проблема-подхватил вирус wwwznv3.exe в автозагрузку, ЦП грузился на 100%, был полечен Dr.Web CureIt и AVZ. Нашелся троян который и был удален. Вроде заработал, но перестал обновляться лицензионный NOD. Пишет ошибка загрузки. Прошу помогите!
Последний раз редактировалось bmax257; 19.07.2010 в 19:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- virusinfo_cure.zip - удалите из темы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TPP725.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys','');
QuarantineFile('C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\Memctl.sys','');
QuarantineFile('C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\HwIOctl.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys','');
DeleteService('aecq');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\61883q.sys','');
DeleteService('61883q');
DeleteFile('C:\WINDOWS\System32\DRIVERS\61883q.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\aecq.sys');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- скачайте новую версию AVZ - 4.34
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось bmax257; 19.07.2010 в 20:45.
-
- virusinfo_syscure.zip - вот этот лог надо приложить,
- virusinfo_cure.zip - удалите из темы
-
-
Junior Member
- Вес репутации
- 51
Сейчас проверил обновление все заработало, но в диспетчере появилось 8 svchost
это смущает, было 6
-
C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\Memctl.sys
C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\HwIOctl.sys
- эти файлы знакомы?
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Сделано, но для меня странно , что другие антивиры этого не находили
-
Сообщение от
polword
C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\Memctl.sys
C:\Documents and Settings\Борис\Мои документы\Макеев\Documents and Settings\Борис\Рабочий стол\Amilo drivers\HwIOctl.sys
- эти файлы знакомы?
- как на счет ответа на вопрос
Добавлено через 9 минут
1.удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Борис\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
2. Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 20.07.2010 в 07:20.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Файлы знакомы, были на внешнем носителе с копией С диска. Сейчас их не вижу на машине.
Добавлено через 5 минут
quarantine.zip не отправляется он пустой
Добавлено через 17 минут
Сейчас все отлично работает, остался только вопрос о количетве svchost в диспетчере. Большое спасибо за помощь.
Последний раз редактировалось bmax257; 20.07.2010 в 22:40.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи virusinfo_syscheck.zip и МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Чисто
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ОК Всем кто помогал огромное спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
-