help please
help please
С уважением,
Alex Plutoff
А. ПЛАТОВ
сделал все по правилам, только не прикрепляются файлы к сообщению, выдает ошибку загрузки(
-выложите всё в одном архиве на стороннем хостинге... ссылку сюда
С уважением,
Alex Plutoff
А. ПЛАТОВ
вот логи
http://ifolder.ru/5935962
Добавлено через 33 минуты
получилось скачать?
Последний раз редактировалось alexsmf; 29.03.2008 в 21:58. Причина: Добавлено
-выполнить скрипт...карантин на http://virusinfo.info/upload_virus.php?tid=20653Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True) TerminateProcessByName('c:\windows\system32\cssrss.exe'); QuarantineFile('H:\jiwsxh39.exe',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('D:\jiwsxh39.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\jiwsxh39.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\runas.exe',''); QuarantineFile('C:\WINNT\system32\amvo1.dll',''); QuarantineFile('C:\WINNT\system32\cssrss.exe',''); QuarantineFile('C:\WINNT\system32\amvo.exe',''); QuarantineFile('C:\WINNT\system32\amvo0.dll',''); BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys'); BC_DeleteFile('C:\WINNT\system32\amvo0.dll'); BC_DeleteFile('C:\WINNT\system32\amvo.exe'); BC_DeleteFile('C:\WINNT\system32\cssrss.exe'); BC_DeleteFile('C:\WINNT\system32\amvo1.dll'); BC_DeleteFile('C:\autorun.inf'); BC_DeleteFile('C:\jiwsxh39.exe'); BC_DeleteFile('D:\autorun.inf'); BC_DeleteFile('D:\jiwsxh39.exe'); BC_DeleteFile('H:\autorun.inf'); BC_DeleteFile('H:\jiwsxh39.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
-пофиксить в HijackThis строки
Код:O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINNT\system32\cssrss.exe O4 - HKCU\..\Run: [amva] C:\WINNT\system32\amvo.exe
С уважением,
Alex Plutoff
А. ПЛАТОВ
не выходит
Ошибка скрипта: ';' expected, позиция [4:2]
это может быть связано с вытаскиванием флешки?
Последний раз редактировалось alexsmf; 30.03.2008 в 00:21.
нет, точку с запяотй вирусом смыло
Подправил скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\cssrss.exe'); QuarantineFile('H:\jiwsxh39.exe',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('D:\jiwsxh39.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\jiwsxh39.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\runas.exe',''); QuarantineFile('C:\WINNT\system32\amvo1.dll',''); QuarantineFile('C:\WINNT\system32\cssrss.exe',''); QuarantineFile('C:\WINNT\system32\amvo.exe',''); QuarantineFile('C:\WINNT\system32\amvo0.dll',''); BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys'); BC_DeleteFile('C:\WINNT\system32\amvo0.dll'); BC_DeleteFile('C:\WINNT\system32\amvo.exe'); BC_DeleteFile('C:\WINNT\system32\cssrss.exe'); BC_DeleteFile('C:\WINNT\system32\amvo1.dll'); BC_DeleteFile('C:\autorun.inf'); BC_DeleteFile('C:\jiwsxh39.exe'); BC_DeleteFile('D:\autorun.inf'); BC_DeleteFile('D:\jiwsxh39.exe'); BC_DeleteFile('H:\autorun.inf'); BC_DeleteFile('H:\jiwsxh39.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделано, прислано, пофикшино.
что дальше?
откуда только они берутся(
вот новые логи.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\system32\amvo0.dll'); DeleteFile('C:\WINNT\system32\amvo.exe'); DeleteFile('C:\WINNT\system32\amvo1.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINNT\system32\cssrss.exe'); DeleteFile('C:\jiwsxh39.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\jiwsxh39.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\jiwsxh39.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6 ); ExecuteRepair(8 ); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Последний раз редактировалось Гриша; 30.03.2008 в 12:36.
принимайте
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Карантин пришлите согласно приложению 3 правил.Код:begin ClearQuarantine; QuarantineFile(' C:\WINNT\system32\runas.exe ',' '); end.
в меню файл - просмотр карантина - папка от сегодня - пусто
Добавлено через 1 минуту
скрытые файлы вижу. значит ли это что вирус побежден?
Последний раз редактировалось alexsmf; 30.03.2008 в 19:07. Причина: Добавлено
Запустите поиск через AVZ
Похоже, но необходимо убедитьсяскрытые файлы вижу. значит ли это что вирус побежден?
Microsoft Most Valuable Professional in Consumer Security
Простите, а что собственно искать?
Ищите при помощи AVZ runas.exe и пришлите по правилам на иследование.
Microsoft Most Valuable Professional in Consumer Security
пишет: Ошибка карантина файла, попытка прямого чтения (runas.exe)
Карантин с использованием прямого чтения - ошибка
карантин пуст.
-а если такойКод:begin BC_QrFile('C:\WINNT\system32\runas.exe'); BC_ImportQuarantineList BC_Activate; RebootWindows(true); end.
С уважением,
Alex Plutoff
А. ПЛАТОВ
Уважаемый(ая) alexsmf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.