Сильно завирусованный компьютер
Вновь установленным Касперским и проверкой AVZ с LiveCD не удалось справиться
Сильно завирусованный компьютер
Вновь установленным Касперским и проверкой AVZ с LiveCD не удалось справиться
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\avstc.exe'); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\msfw.exe'); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe',''); QuarantineFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('F:\autorun.inf',''); DeleteFile('F:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ClearHostsFile; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи + сделайте лог Гмер
Видимый результат не поменялся, Касперский ругается на rootkit:win32.tdss.d в памяти
Файл сохранён как 100921_145232_quarantine_4c988e70dd9d8.zip
Размер файла 300859
MD5 f5c371a739e560265a171d5da9e7dc32
Проверяйтесь так - http://support.kaspersky.ru/faq/?qid=208636926 лог приложите сюда -По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
Проверка TDSSKiller вылечила, лог прилагаю
Гмер либо вешает машину либо сам выгружается либо синий экран
AVZ логи делаю
- Зачем под нож пустили сервис Доктор Вэба?Заблокированный сервис(DwProt) - User select action: Delete
Drweb больше не использую
Высылаю отчеты AVZ
Жду результата лечения / проверки
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('F:\autorun.inf'); DeleteFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe'); DelCLSID('67KLN5J1-4OPM-00WE-AAX5-71EF1D187311'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscheck.zip
Высылаю лог
I:\ - это Вы уже флешку подключили?
Выполните скрипт в АВЗ -
- Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('I:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe'); DeleteFile('I:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscheck.zip
Еще файл журнала после выполнения скрипта
Флешка использовалась для переноса скрипта
скрипт отрабатывал с флешкой
флешку проверял на др. компьютере, был:
Удалено троянская программа Trojan.Win32.Jorik.IRCbot.hp F:\N_GIGABYTE\N_GIGABYTE\N_GIGABYTEav.exe 22.09.2010 16:35:33
Самое главное, чтобы флешка была подключена при выполнении скрипта из поста №11, потому что на ней были вирусы. А так - чисто.
Спасибо
Выполненил скрипт #11 с флешкой
После удалил названный вирус на др. компьютере
Что с проблемой сейчас?
Внешне все решено. Спасибо
Рекомендуется -
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\admin\\locals~1\\temp\\avstc.exe - Trojan.Win32.Jorik.IRCbot.hp ( DrWEB: Trojan.AVKill.2478, BitDefender: Trojan.Generic.5707912, AVAST4: Win32:Malware-gen )
- c:\\docume~1\\admin\\locals~1\\temp\\msfw.exe - Worm.Win32.AutoRun.hjp ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.KDV.37182, AVAST4: Win32:AutoRun-BPN [Wrm] )
- c:\\key\\f-2-3-13-23878789098-7675432123-0000900091-777\\x0rr0x.exe - Worm.Win32.AutoRun.brwu ( DrWEB: Win32.HLLW.Autoruner.15890, BitDefender: Worm.Generic.294133, AVAST4: Win32:Malware-gen )
- f:\\autorun.inf - Worm.Win32.AutoRun.brwu ( BitDefender: Trojan.Script.473351, NOD32: INF/Autorun virus, AVAST4: INF:AutoRun-BI [Wrm] )
Уважаемый(ая) alekseygalkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.