vasiol 0 Жалоба Опубликовано Февраль 18, 2008 Добрый день. АВК 7.0 нашел: trojan.Win32.Pakes.cdw заражен файл advpac.dll не удаляет и не лечит. Помогите избавиться от этой гадости. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ego1st 95 Жалоба Опубликовано Февраль 18, 2008 3 варианта, либо пойти сюда и сделать то что написано (там же создать тему в помогите), либо выполнить что там написано и логи приложить сюда.. http://virusinfo.info/showthread.php?t=1235 но перед этим можно попробовать пролечиться вот этим ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 18, 2008 AVZ - virusinfo_syscure.zip - не получается сделать - выдает ошибку hijackthis.rar hijackthis.rar virusinfo_syscheck.zip sysinfo.rar hijackthis.rar hijackthis.rar virusinfo_syscheck.zip sysinfo.rar Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ego1st 95 Жалоба Опубликовано Февраль 18, 2008 выполните скрипт beginSearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat',''); RebootWindows(true); end. потом папочку quarantin(карантин) заархивируйте с паролем malware и покладите тут.. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Жалоба Опубликовано Февраль 18, 2008 А вы уверены, что его никто не дропает при загрузке? Какие у вас права на этот файл? Почистите реестр от ссылок на этот файл (или даже на {6560FD20-BF78-40A1-BB52-BDFCFE50C05C}). Если не удаляется unlocker-ом и в Safe Mode, то можно попробовать через Recovery Console с загрузочного диска с вендой. Перед загрузкой в Recovery Console повысьте её возможности: Установите через secpol.msc -> Local Policies -> Security Options -> "Recovery Console: Allow floppy copy and access to all drives and folders" -> Enable. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 18, 2008 После выполнения скрипта произошел автоперезагруз Quarantine.rar Quarantine.rar Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Жалоба Опубликовано Февраль 19, 2008 ... Напишите, что из предложенного вам вы сделали. Вы проверились Dr.Web CureIT? Удалите из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" msindeo.dll. Прошустрите реестр на наличие {7ACB5731-5839-13AB-EABC-124791194525} и msindeo.dll - удалите ссылки (например HKEY_CLASSES_ROOT\CLSID\{7ACB5731-5839-13AB-EABC-124791194525}, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7ACB5731-5839-13AB-EABC-124791194525}), сам файл в c:\windows\system32\ или ещё где. Удалите из "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" что-нибудь похожее на qyyynrij.dat, aqbcfaly.dat и т.п. Также удалите эти файлы из c:\windows\system32\drivers\. Хотя... У вас это вряд ли просто получится. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ego1st 95 Жалоба Опубликовано Февраль 19, 2008 повторите логи.. у вас тут руткит и еще пару гадостей.. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 19, 2008 virusinfo_syscure.zip не сохраняется отправляю avz_log получилось. avz_log.rar hijackthis.rar sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip avz_log.rar hijackthis.rar sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 19, 2008 Выполните в AVZ: beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('7ACB5731-5839-13AB-EABC-124791194525'); DeleteFile('C:\WINDOWS\system32\Drivers\aqbcfaly.dat');BC_ImportDeletedList;BC_DeleteSvc('wcngmzpb');BC_Activate;ExecuteSysClean;RebootWindows(true);end. virusinfo_syscheck повторите Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 20, 2008 не подскажите что за файл klif.sys - который перехватывает функции? virusinfo_syscheck.zip virusinfo_syscheck.zip Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Жалоба Опубликовано Февраль 20, 2008 Это драйвер Касперского. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 20, 2008 Bienum0mnwit.sys В АВЗ Сервис - Поиск файлов на диске. Если найдется - добавьте в карантин, затем через Файл - Просмотр карантина заархивируйте и прикрепите сюда Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 20, 2008 Такой файл найден не был Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 20, 2008 Выполните beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_ImportDeletedList;BC_DeleteFile('C:\windows\system32\drivers\Bienum0mnwit.sys');BC_DeleteSvc('Bienum0mnwit');BC_Activate;ExecuteSysClean;RebootWindows(true);end. Лог virusinfo_syscheck повторите... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 22, 2008 АВК сейчас ничего не находит. Только появилось от ATI объявление что нет прав делать изменения в настройке. Звери неопределяемые АВК остались? virusinfo_syscheck.zip virusinfo_syscheck.zip Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 22, 2008 Все чисто... что подробнее происходит? Скрин если можно Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 22, 2008 пробовал переставить ССС, не помогло. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 22, 2008 В AVZ Файл - Восстановление системы Отметьте пункты 6 и 9, выполните, перезагрузитесь... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 23, 2008 Не помогло. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rubin-VInfo 10 Жалоба Опубликовано Февраль 23, 2008 737-21278: Catalyst Control Center: You Do Not Have Permission to Change Catalyst Control Center Settings Message. 1. Рекомендуется проверить, что система Журнала Событий (Event Log) Windows запущена и параметры ее старта установлены в Автоматически (Automatic). 2. Убедиться, что текущая учетная запись пользователя обладает правами Администратора. 3. Провести перестройку базы данных WMI Windows Repository, для чего: - запустить командную строку с помощью Нажать Пуск > нажать Выполнить > ввести "cmd" > Нажать OK. - в командной строке набрать "net stop winmgmt" и нажать ВВОД (Enter). - используя Проводник Windows открыть папку %systemroot%\system32\wbem (обычно это C:\Windows\system32\wbem ) и удалить там папку Repository. - в командной строке набрать "net start winmgmt" и нажать ВВОД (Enter). - в командной строке набрать "exit" и нажать ВВОД (Enter). PS: Возможно, что производить описанные операции придётся в безопасном режиме. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Жалоба Опубликовано Февраль 25, 2008 Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит. Версия в релизе даже распаковать его не может. А что там распаковывать? Простым отладчиком распаковывается как обычный upx и код вируса читается черным по белому. P.S. Засылал Вэбовцам файл уже два раза (на .ru и .com). Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vasiol 0 Жалоба Опубликовано Февраль 26, 2008 В панели управления пишет что профиль администратор В командной строке ввести не удалось- пишетнет команды net Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Жалоба Опубликовано Февраль 26, 2008 В командной строке ввести не удалось- пишетнет команды net Какого net нет? На net - и суда нет. Можете проделать останов и запуск сервиса "Windows Management Instrumentation" через Start->Run... -> "services.msc". Хотя я бы первым делом проверил, не прописали ли вирусы чего в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*". Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Жалоба Опубликовано Февраль 28, 2008 Уже неделя прошла, а Вэб "Browser Helper Objects"-товского трояношпиона так и не детектит... Полторы недели на включение в базы. Хм... Правда версия Вэба в релизе так и не может этот upx распаковать и т.о. вируса не детектит. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты