Junior Member
Вес репутации
53
Зоопарк из вирусов, почти победил, помогите остатки убрать плиз
Здравствуйте. Имеется бук с винХР. Стоял там каспер 2010 лицензионный, но все равно комп заразился вирусами. Сами вирусы блокируют каспера. С помощью AVZ и Cureit вылечил что смог. Поставил каспера 2011, обновил, перезагрузился - каспер не грузится все равно. В процессах два файла lovybe.exe и еще один с похожим названием. Если их завершить, то каспер грузится и работает, сделал полную проверку, он нашел несколько подозрительных файлов, но не лечит их и в карантин не перемещает. Вот прикладываю логи
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\macromadendt\msshellext\lovybe.exe');
QuarantineFile('C:\WINDOWS\system32\Macromadendt\lorvyb.exe','');
DeleteService('COMSysApp');
QuarantineFile('C:\WINDOWS\svch0st.exe','');
QuarantineFile('C:\Program Files\Common Files\BOSC.dll','');
QuarantineFile('C:\Program Files\DownTemp\129031.pif','');
QuarantineFile('C:\Program Files\DownTemp\130234.pif','');
QuarantineFile('C:\Program Files\DownTemp\139812.pif','');
QuarantineFile('C:\Program Files\DownTemp\191625.pif','');
QuarantineFile('C:\Program Files\DownTemp\239781.pif','');
QuarantineFile('C:\Program Files\DownTemp\582812.pif','');
QuarantineFile('C:\Program Files\DownTemp\697875.pif','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\Program Files\internet explorer\ietimbar\ietimbar.dll','');
QuarantineFile('C:\Program Files\intern~1\ietimbar\ietimbar.dll','');
QuarantineFile('C:\Program Files\messenger\msseces.exe','');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\svch0st.exe');
BC_DeleteSvc('COMSysApp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Junior Member
Вес репутации
53
Забыл добавить что Интернет Эксплорер тоже не запускается, также не работает Поиск в винде. Нет строки поиска). Одна собака внизу окна). Выполнил скрипт, перезагрузился, процессы lovybe.exe и еще один с похжим названием остались. прилагаю карантин
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Program Files\DownTemp','*.*',true);
DeleteFile('C:\Program Files\messenger\msseces.exe');
DeleteFile('C:\Program Files\intern~1\ietimbar\ietimbar.dll');
DeleteFile('C:\Program Files\internet explorer\ietimbar\ietimbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
C:\Program Files\Common Files\BOSC.dll - not-a-virus:Monitor.Win32.ActualSpy.abb - Это Вам нужно?
Сделайте лог полного сканирования МВАМ
Junior Member
Вес репутации
53
Сообщение от
Olejah
C:\Program Files\Common Files\BOSC.dll - not-a-virus:Monitor.Win32.ActualSpy.abb - Это Вам нужно?
Я не знаю что это, наверно не нужно. Скрипт сейчас выполню и сделаю логи МВАМ
PS: MBAM не работает. Пишет ошибку Run-time error 339 - file is missing or invalid - vbalsgrid6.ocx.
Последний раз редактировалось SlavonBG; 19.11.2010 в 10:36 .
Причина: MBAM не работает
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Common Files\BOSC.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
Junior Member
Вес репутации
53
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\macromadendt\lorvyb.exe');
QuarantineFile('c:\windows\system32\macromadendt\lorvyb.exe','');
TerminateProcessByName('c:\windows\system32\macromadendt\msshellext\lovybe.exe');
QuarantineFile('c:\windows\system32\macromadendt\msshellext\lovybe.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ApsS88.sys','');
DeleteFile('c:\windows\system32\macromadendt\msshellext\lovybe.exe');
DeleteFile('c:\windows\system32\macromadendt\lorvyb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи АВЗ (2 лога)
Junior Member
Вес репутации
53
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('ApsS88');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ApsS88.sys');
BC_DeleteSvc('ApsS88');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите лог virusinfo_syscheck.zip
Junior Member
Вес репутации
53
Junior Member
Вес репутации
53
СТранная проблема: папка Program Files скрытая и только для чтения. Папка Kaspersky Lab тоже. причем атрибуты не меняются. Нажимаешь "применить", "ок" и все опять скрытое и только для чтения
Выполните скрипт в АВЗ -
Код:
begin
ExecuteRepair(8);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Как сейчас?
Junior Member
Вес репутации
53
Вроде бы нормально. Но не меняются атрибуты папки Program Files.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 17 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\common files\\bosc.dll - not-a-virus:Monitor.Win32.ActualSpy.abb ( DrWEB: Trojan.PWS.Qqpass.5826, BitDefender: Backdoor.Generic.510250, AVAST4: Win32:Malware-gen ) c:\\program files\\downtemp\\130234.pif - not-a-virus:AdWare.Win32.Iebar.ae ( DrWEB: Adware.Bho.3287, BitDefender: Dropped:Application.Generic.327243, NOD32: Win32/Adware.Zhongsou application ) c:\\program files\\downtemp\\139812.pif - not-a-virus:AdWare.Win32.Iebar.ae ( DrWEB: Adware.Bho.3287, BitDefender: Dropped:Application.Generic.327243, NOD32: Win32/Adware.Zhongsou application ) c:\\program files\\downtemp\\191625.pif - Trojan-Downloader.Win32.Murlo.ihc ( DrWEB: Adware.Sogou.678, BitDefender: Trojan.Generic.5092362, AVAST4: Win32:Adware-gen [Adw] ) c:\\program files\\internet explorer\\ietimbar\\ietimbar.dll - not-a-virus:AdWare.Win32.Iebar.ae ( DrWEB: Adware.Bho.3287, BitDefender: Application.Generic.327243, AVAST4: Win32:Adware-gen [Adw] ) c:\\program files\\intern~1\\ietimbar\\ietimbar.dll - not-a-virus:AdWare.Win32.Iebar.ae ( DrWEB: Adware.Bho.3287, BitDefender: Application.Generic.327243, AVAST4: Win32:Adware-gen [Adw] ) c:\\program files\\messenger\\msseces.exe - not-a-virus:AdWare.Win32.Cinmus.btxy ( DrWEB: Trojan.Siggen1.64035, BitDefender: Trojan.Generic.5021910, AVAST4: Win32:Rootkit-CN [Trj] ) c:\\windows\\system32\\drivers\\apss88.sys - Rootkit.Win32.Agent.bljr ( DrWEB: Trojan.NtRootKit.9886, BitDefender: Trojan.Generic.5130496, NOD32: Win32/AntiAV.NHK trojan, AVAST4: Win32:Rootkit-gen [Rtk] )