Помогите NOD32 нашел этого червя. но не лечит, чем его можно вылечить. пробовал stinger- не помогает
Помогите NOD32 нашел этого червя. но не лечит, чем его можно вылечить. пробовал stinger- не помогает
Попробуйте сделать логи по правилам.
I am not young enough to know everything...
вот логи
1. Востановление системы отключить не забыли?
2. Обновите базы AVZ.
3. Выполните скрипт:
4. После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Messenger.dll',''); QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
111
Messenger.dll - Backdoor.Win32.Agent.aqa
svchost.exe - Virus.Win32.AutoRun.dg
Выполните скрипт в AVZ:
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe'); DeleteFile('C:\WINDOWS\system32\Messenger.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('SysSch'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Вот логи.
Однако силен этот messenger.dll, не удалился.
Выполните скрипт из безопасного режима:
После перезагрузки сделайте заново логи, начиная с п.10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Messenger.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
я так понял всё равно есть. запустил после нод32 он пишет что сидит в памяти
не забудьте отключить нод и , teatimer, spyremover...они будут мешать лечению.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); TerminateProcessByName('Messenger.dll'); DeleteFile('C:\WINDOWS\system32\Messenger.dll'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteSvc('runtime2.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
P.s. Выполните скрипт из безопасного режима на всякий случай, если не поможет.
Последний раз редактировалось drongo; 04.07.2007 в 18:31.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\offline web pages\\svchost.exe - Worm.Win32.AutoRun.rr (DrWEB: Win32.HLLW.Autoruner.239)
- c:\\windows\\system32\\messenger.dll - Backdoor.Win32.Agent.aqa (DrWEB: BackDoor.Bala)
- c:\\windows\\temp\\startdrv.exe - Backdoor.Win32.Agent.aqa (DrWEB: BackDoor.Bala)
Уважаемый(ая) VoVIS2007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.