Помогите, плиз!

**ser208** · 24 октября, 2008

Отключи интернет на время лечения.

В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".

beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('tcpsr', 4);DeleteService('tcpsr');QuarantineFile('tcpsr.sys','');QuarantineFile('F:\FXDrv32.sys','');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('tcpsr.sys');BC_Activate;RebootWindows(true);end.

После перезагрузки выполни еще скрипт и получившийся карантин вышли по адресу "мой ник" собака rambler.ru.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Повтори все логи.

Изменено 24 октября, 2008 пользователем ser208

**barmaleys** · 25 октября, 2008

Спасибо за ответ!

Ситуация такая. Скрипт выполнился без ошибок, правда в логах писал что-то красным, типа не удалось получить

прямой доступ к диску. Хотел скопировать, не успел, машина ушла в перезагрузку.

Вирус остался в tcpsr.sys и появился еще один зараженный файл c:\windows\temp\bn4.tmp

правда похоже прекратился исходящий трафик.

новые логи прилагаются

**ser208** · 25 октября, 2008

Цитата
Вирус остался в tcpsr.sys

После отключения самой службы AVZ при повторном сканировании его удалил, о чем свидетельствует запись:

C:\WINDOWS\system32\drivers\tcpsr.sys >>>>> Trojan.Win32.Agent.mwo  deleted successfully

По крайней мере в логах он более не фигурирует.

Если файл физически присутствует и удалить его не удается, то скачай Icesword, нажми внизу File. Откроется аналог проводника. Выбери C:\WINDOWS\system32\drivers\tcpsr.sys и по правой кнопке мыши Force Delete.

Скачай ATFCleaner и удали временные файлы.

Проведи полную проверку CureIt.

Цитата
появился еще один зараженный файл c:\windows\temp\bn4.tmp

Раньше скрывался руткитом.

Цитата
правда похоже прекратился исходящий трафик.

Прекратился. Видно по логам.

Не лишним будет проверить системный диск утилитой CureIt в безопасном режиме (в настройке выбрать "Выборочно" или "Полная проверка"), чтобы вычистить остатки.

Изменено 25 октября, 2008 пользователем ser208

**barmaleys** · 26 октября, 2008

Проблема в том, что эти файлы tspsr.sys и bn4.tmp удаляются без проблем и антивирусом и просто так,

но вновь появляются после каждой перезагрузки компьютера ;)

В папке с bn4 лежит еще один bn3 точно такого же размера, удалил и его.

после перезагрузки антивирус обнаруживает tspsr.sys и bn3.tmp, ничего не удаляю, прегружаюсь,

обнаруживаются tspsr.sys и bn4.tmp.

После удаления все повторяется...

**ser208** · 26 октября, 2008

Выполни скрипт.

beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('tcpsr', 4);SetServiceStart('FXDrv32', 4);DeleteService('FXDrv32');QuarantineFile('F:\FXDrv32.sys','');DeleteService('tcpsr');QuarantineFile('F:\FXDrv32.sys','');DeleteFile('F:\FXDrv32.sys');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('tcpsr.sys');BC_DeleteSvc('FXDrv32.sys ');BC_Activate;RebootWindows(true);end.

Повтори логи.

Изменено 26 октября, 2008 пользователем ser208

**barmaleys** · 27 октября, 2008

Скрип выполнен, но ничего не изменилось ;)

**akoK** · 27 октября, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);StopService('ati1elxx');SetServiceStart('ati1elxx', 4);QuarantineFile('C:\WINDOWS\system32\drivers\wrdrv.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\ati1elxx.sys','');DeleteFile('C:\WINDOWS\system32\Drivers\ati1elxx.sys');DeleteService('ati1elxx');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

**barmaleys** · 27 октября, 2008

скрипты запустил, логи прилагаются

**barmaleys** · 27 октября, 2008

зверье никуда не делось, живет и здравствует :nerd:

**akoK** · 27 октября, 2008

хмм будем бить ногами

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\system32\Drivers\ati1elxx.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);BC_ImportDeletedList;SetServiceStart('ati1elxx', 4);DeleteService('ati1elxx');DeleteFile('C:\WINDOWS\system32\Drivers\ati1elxx.sys');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

P>S> Вы аваст отключаете перед выполнением скриптов?

Забыл :nerd:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);DeleteService('tcpsr');DeleteFile('tcpsr.sys');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится

Вот теперь повторите логи.

Изменено 27 октября, 2008 пользователем akoK

**barmaleys** · 27 октября, 2008

Похоже задавили зверя! :nerd:

akoK, спасибо огромное, хорошо, что Вы есть!

ser208, низкий поклон за активную и бескорыстную помощь!

**ser208** · 27 октября, 2008

barmaleys Вы бы подождали пока устанавливать новое ПО до окончания лечения.

Изменено 27 октября, 2008 пользователем ser208

**akoK** · 27 октября, 2008

Воот руткит "забодали" осталось почистить следы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteService('tcpsr');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_ImportDeletedList;BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

Пофиксить в HijackThis следующие строчки

 O24 - Desktop Component 0: (no name) - http://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/1848_Jean-Auguste-Domin ique_Ingres_-_Venus_Anadyom%C3%A8ne.jpg/353px-1848_Jean-Auguste-Dominique_Ingres _-_Venus_Anadyom%C3%A8ne.jpg

**barmaleys** · 28 октября, 2008

ser208 сказал:
barmaleys Вы бы подождали пока устанавливать новое ПО до окончания лечения.

Это Вы о чем?

**akoK** · 28 октября, 2008

Это к тому, что резюме "чисто" еще не поступало :doh:

**barmaleys** · 28 октября, 2008

akoK сказал:

Пофиксить в HijackThis следующие строчки

 O24 - Desktop Component 0: (no name) - http://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/1848_Jean-Auguste-Domin ique_Ingres_-_Venus_Anadyom%C3%A8ne.jpg/353px-1848_Jean-Auguste-Dominique_Ingres _-_Venus_Anadyom%C3%A8ne.jpg

Можете уточнить, что как это делать?

Запустить HijackThis, потом...

**akoK** · 28 октября, 2008

Как "пофиксить" с помощью HijackThis

**barmaleys** · 28 октября, 2008

akoK сказал:
Это к тому, что резюме "чисто" еще не поступало :doh:

уразумел :D

**barmaleys** · 28 октября, 2008

akoK сказал:
Как "пофиксить" с помощью HijackThis

Спасибо, понял. Все сделал.

Логи прилагаются.