Help! Вирусы достали! Подскажите .

**ProtasOff** · 28.08.2010, 01:24

"В безопасном" это как?

**Gobzavr** · 28.08.2010, 01:34

"В безопасном" это как?

F8 при запуске - безопасный режим (safe mode)

**ProtasOff** · 28.08.2010, 02:30

Cure IT пишет, что ничего не нашёл. Соответственно и AVZ по старому.

**Gobzavr** · 28.08.2010, 09:30

АВЗ от админа запускаете же?

**ProtasOff** · 28.08.2010, 09:39

По всякому пытался. При попытке выполнить скрипт - вырубается. Остальные функции работают.

**Gobzavr** · 28.08.2010, 09:42

Ага. Понял. Перегрузите машину. Сделайте анализ еще раз.

**ProtasOff** · 28.08.2010, 09:51

Отчёт здесь http://slil.ru/29608520

**Gobzavr** · 28.08.2010, 10:05

Давайте начнем с малого...

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\System32\drivers\b57nd60a.sys','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
 BC_DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После - анализ еще раз

**ProtasOff** · 28.08.2010, 10:13

Этот тоже ошибку выдаёт. Вот скрин.

**Gobzavr** · 28.08.2010, 10:24

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\System32\drivers\b57nd60a.sys','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
 BC_DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

**ProtasOff** · 28.08.2010, 10:39

Не хочет.

**Gobzavr** · 28.08.2010, 10:43

Странно

Код:

begin
 QuarantineFile('C:\Windows\System32\umpo.dll','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 QuarantineFile('C:\Windows\System32\drivers\b57nd60a.sys','');
 TerminateProcessByName('c:\windows\syswow64\bgsvcgen.exe');
 QuarantineFile('c:\windows\syswow64\bgsvcgen.exe','');
 DeleteFile('c:\windows\syswow64\bgsvcgen.exe');
 BC_DeleteFile('c:\windows\syswow64\bgsvcgen.exe');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\umpo.dll');
 BC_DeleteFile('C:\Windows\System32\umpo.dll');
 DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
 BC_DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');

end.

А вот если так. Тут без загрузок драйверов.

**ProtasOff** · 28.08.2010, 10:53

Теперь работает. Отчёт http://slil.ru/29608644

**Gobzavr** · 28.08.2010, 11:10

Вариант раз:

Код:

begin
 QuarantineFile('C:\Windows\System32\umpo.dll','');
 QuarantineFile('C:\Windows\System32\RpcEpMap.dll','');
 QuarantineFile('C:\Windows\System32\UI0Detect.exe','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\UI0Detect.exe');
 BC_DeleteFile('C:\Windows\System32\UI0Detect.exe');
 DeleteFile('C:\Windows\System32\RpcEpMap.dll');
 BC_DeleteFile('C:\Windows\System32\RpcEpMap.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RpcEptMapper\Parameters','ServiceDll');
 DeleteFile('C:\Windows\System32\umpo.dll');
 BC_DeleteFile('C:\Windows\System32\umpo.dll');
end.

Вариант два

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\System32\umpo.dll','');
 QuarantineFile('C:\Windows\System32\RpcEpMap.dll','');
 QuarantineFile('C:\Windows\System32\UI0Detect.exe','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\UI0Detect.exe');
 BC_DeleteFile('C:\Windows\System32\UI0Detect.exe');
 DeleteFile('C:\Windows\System32\RpcEpMap.dll');
 BC_DeleteFile('C:\Windows\System32\RpcEpMap.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RpcEptMapper\Parameters','ServiceDll');
 DeleteFile('C:\Windows\System32\umpo.dll');
 BC_DeleteFile('C:\Windows\System32\umpo.dll');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

**ProtasOff** · 28.08.2010, 11:29

отчёт после первого скрипта http://slil.ru/29608705

**Gobzavr** · 28.08.2010, 11:49

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\System32\drivers\b57nd60a.sys','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
 BC_DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

**ProtasOff** · 28.08.2010, 12:03

Та же ошибка.

**Gobzavr** · 28.08.2010, 12:18

А если так

Код:

 begin
QuarantineFile('C:\Windows\System32\drivers\b57nd60a.sys','');
 QuarantineFile('C:\Windows\SysWOW64\bgsvcgen.exe','');
 DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 BC_DeleteFile('C:\Windows\SysWOW64\bgsvcgen.exe');
 DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
 BC_DeleteFile('C:\Windows\System32\drivers\b57nd60a.sys');
end.

У вас LiveCD есть?

**ProtasOff** · 28.08.2010, 12:22

Это куда вставлять? Live CD нет.
Бегу на работу. Вечером будете на форуме?

**Gobzavr** · 28.08.2010, 12:30

Это куда вставлять?

Та все туда же - выполнить скрипт

Live CD нет.

Плохо. Могу дать ссылку на ISO файл

Вечером будете на форуме?

А куда я денусь

Тема: Help! Вирусы достали! Подскажите .

Параметри теми

Display

Bookmarks

Bookmarks

Ваші права у розділі

	Головна \| Афіша \| Новини \| Куди піти \| Про місто \| Фото \| Довідник \| Оголошення
	Контакти : Угода з користивачем : Політика конфіденційності : Додати інформацію