Один из коллег жаловался на свой домашний компьютер, дал ему на флэшке AVZ, попросил выполнит скрипт, комментарии как говорится излишни, лог прилагается
Один из коллег жаловался на свой домашний компьютер, дал ему на флэшке AVZ, попросил выполнит скрипт, комментарии как говорится излишни, лог прилагается
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\mlburmh.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\mlburmh.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\diwqfz.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('klstm'); BC_DeleteSvc('ids00026'); BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63784).
Сделайте новые логи (все три по правилам).
I am not young enough to know everything...
КАРАНТИН
Файл сохранён как 091228_103313_virus_4b385f393c9ac.zip
Размер файла 1745972
MD5 c1b76db4cbf93c7f3b57b50820a29360
Сделайте новые логи (все три по правилам).
логи после выполнения лечения
вот, самые последние логи, только AVZ, hijackthis не запускается, и в безопасный режим войти не могу - перегружается . Видимо придётся просить у хозяина санкцию на переустановку Windows
логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\mlburmh.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(10); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
свежий карантин, логи в процессе
Файл сохранён как 091228_131032_virus_4b388418139bb.zip
Размер файла 1550573
MD5 f317f7a0d292e65e43eefa3dcb288d7f
похоже без изменений
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(19); RebootWindows(true); end.
Сделайте новые логи.
довтыкался с флэшкой... он и ко мне на комп прописался:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{82acf82f-e2fa-11de-8dd2-0002b306c169}\shell\open\Command\mlburmh.exe
Вставте все сьемные носители, сделайте логи avz.
вот последние логи
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\IMES.dll',''); DeleteFile('C:\WINDOWS\system32\IMES.dll'); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\mlburmh.exe',''); DeleteFile('C:\mlburmh.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\mlburmh.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин:
Файл сохранён как 091229_141050_virus_4b39e3bae7322.zip
Размер файла 1405722
MD5 52cb95c82bd31c0a17e3efa42b9378af
логи
В логах все нормально.
Что с проблемами?
I am not young enough to know everything...
похоже излечился, но что то подозрительное есть, например не видны системные и скрытые файлы, в свойствах папки установлено показывать их
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Проверяйте показ скрытых файлов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) VK_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.