-
Junior Member
- Вес репутации
- 53
YOUR SYSTEM IS INFECTED!
Здравствуйте, у меня появилась проблема. На моем рабочем столе появилась надпись:
YOUR SYSTEM IS INFECTED!
System has been stopped due to a serious malfunction.
Spyware activity has been detected.
It is recommeded to usr spyware removal tool to prevent data loss.
Do not use the computer before all spyware remover.
Что делать? Помогите
Последний раз редактировалось 1николай; 02.05.2011 в 16:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
QuarantineFile('C:\WINDOWS\system32\0078.dll','');
DelBHO('{0734AD78-25B9-45D2-949C-ED138915BF22}');
QuarantineFile('C:\WINDOWS\system32\lslibs.dll','');
QuarantineFile('C:\WINDOWS\system32\sachost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
QuarantineFile('C:\WINDOWS\system32\locale.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\Documents and Settings\OEM\Application Data\DealAssistant\dealassistant.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Tet-A-Tet.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\de317\WSc1b.exe','');
DeleteService('Imlnhcina');
QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
DeleteFile('Imlnhcina.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\de317\WSc1b.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\locale.exe');
DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
DeleteFile('C:\WINDOWS\system32\sachost.exe');
DeleteFile('C:\WINDOWS\system32\lslibs.dll');
BC_ImportAll;
ExecuteSysclean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Подготовьте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Новые логи подготовил как вы и сказали.
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось 1николай; 02.05.2011 в 16:09.
-
Junior Member
- Вес репутации
- 53
Всё ли я сделал правильно? Или что-то не так??
-
-
-
Junior Member
- Вес репутации
- 53
В смысле чисто? Проблема то осталась:
Последний раз редактировалось 1николай; 02.05.2011 в 16:09.
-
Junior Member
- Вес репутации
- 53
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Возможно, я вам прислал не все файлы, которые попали в карантин AVZ. Последнее было как: 091026_185153_virus_4ae5c59993d0e.zip от 26.10.2009
-
Сообщение от
1николай
В смысле чисто? Проблема то осталась:
Прошу прощения, попутал тему
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
DeleteFile('c:\program files\advancedvirusremover\pavrm.exe');
DeleteFileMask('c:\program files\advancedvirusremover\','*.*',true);
DeleteDirectory('c:\program files\advancedvirusremover\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\advancedvirusremover\pavrm.exe');
QuarantineFile('c:\program files\advancedvirusremover\pavrm.exe','');
DeleteFile('c:\program files\advancedvirusremover\pavrm.exe');
DeleteFileMask('c:\program files\advancedvirusremover\','*.*',true);
DeleteDirectory('c:\program files\advancedvirusremover\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
Вот новые логи:
Последний раз редактировалось 1николай; 02.05.2011 в 16:09.
-
Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
Профиксил в HJT.
Огромное спасибо за помощь! Всё работает отлично, вирус удалился.
СПАСИБО!!!!
А что делать с файлами: virusinfo_cure, virusinfo_syscure, virusinfo_syscheck, которые остались в папке LOG, а также с текстовым документом hijackthis и папкой backups ?
-
А что делать с файлами: virusinfo_cure, virusinfo_syscure, virusinfo_syscheck, которые остались в папке LOG, а также с текстовым документом hijackthis и папкой backups ?
Удалите
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\advancedvirusremover\pavrm.exe - Trojan.Win32.FraudPack.xrd ( DrWEB: Trojan.Fakealert.6259, BitDefender: Gen:Trojan.Heur.Hype.8HW@aeeh5op, NOD32: Win32/Adware.AdvancedVirusRemover.B application, AVAST4: Win32:Trojan-gen )
- c:\system volume information\_restore{d77952ef-4819-47e3-9ada-2f84c44282d6}\rp620\a0211508.dll - not-a-virus:AdWare.Win32.TMAagent.t ( NOD32: Win32/Adware.TMAagent application )
- c:\windows\system32\winupdate.exe - Trojan-Downloader.Win32.FraudLoad.fwn ( DrWEB: Trojan.DownLoad.56984, BitDefender: Trojan.Fakealert.BQL, NOD32: Win32/TrojanDownloader.FakeAlert.AED trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-