Показано с 1 по 7 из 7.

W32.vb.el (модиф.) (заявка № 11907)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2007
    Сообщений
    46
    Вес репутации
    34

    Question W32.vb.el (модиф.)

    Инфицированный файлы:
    C:\WINDOWS\system32\socksa.exe - модифицированный Win32/VB.EL червь
    C:\WINDOWS\svchost.exe - модифицированный Win32/VB.EL червь

    Антивирус - Nod32

    Как ясно из описания вируса в интернете: пропадают все скрытые файлы и включить их невозможно через свойства папки. Так же жесткие диски с моего компютера запускаются с автозапуском и видимо клонируют все что было удалено антивирем.

    Заранее благодарю за помощь

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Базы AVZ не обновили. (пунк 4 Правил)
    Утилитой CureIt компьютер не проверяли? А надо было бы. ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
    Логи надо было делать не в Режиме защиты от сбоев (safemode), а в нормальном.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Повторите, пожалуйста, логи AVZ в обычном режиме (не в safe mode) Если создание логов в обычном режиме по каким-то причинам невозможно, сделайте дополнительные логи, о которых написано здесь - http://virusinfo.info/showthread.php?t=10387

  5. #4
    Junior Member Репутация
    Регистрация
    24.08.2007
    Сообщений
    46
    Вес репутации
    34
    Спасибо, в следующий раз учту

    Вирус был вылечен cureit, и удален bat файликом следующего содержания:
    @echo on
    taskkill /im explorer.exe /f
    taskkill /im wscript.exe /f
    taskkill /im algsrvs.exe /f
    start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
    start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
    start reg Delete
    HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\ Advanced\Folder\Hidden
    \SHOWALL /v CheckedValue /f
    start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced /v
    ShowSuperHidden /t REG_DWORD /d 1 /f
    start reg add
    HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\ Advanced\Folder\Hidden
    \SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
    start reg import kill.reg
    del c:\autorun.* fun.xls.exe /f /q /as
    del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
    /as
    del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
    del %systemroot%\ufdata2000.log
    del d:\autorun.* fun.xls.exe /f /q /as
    del e:\autorun.* fun.xls.exe /f /q /as
    del f:\autorun.* fun.xls.exe /f /q /as
    del g:\autorun.* fun.xls.exe /f /q /as
    del h:\autorun.* fun.xls.exe /f /q /as
    del i:\autorun.* fun.xls.exe /f /q /as
    del j:\autorun.* fun.xls.exe /f /q /as
    del k:\autorun.* fun.xls.exe /f /q /as
    del l:\autorun.* fun.xls.exe /f /q /as
    start explorer.exe

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Странный народ. Раздел называется "Помогите", а лечатся руками.
    Думаю не до конца.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    24.08.2007
    Сообщений
    46
    Вес репутации
    34
    Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать

    P.S. Зачем думать не до конца ?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от xvras Посмотреть сообщение
    Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать

    P.S. Зачем думать не до конца ?
    Думаю не до конца вылечиваются. Сорри, что не дописал.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) xvras, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. модиф. Adware.UltimateDefender.AA
      От Anatoliy221 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00412 seconds with 21 queries