Помогите плиз!
Высылаю логи.
Помогите плиз!
Высылаю логи.
Последний раз редактировалось ula_2007; 04.10.2007 в 12:46.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\printer.exe',''); QuarantineFile('C:\WINNT\system32\stdole32.dat',''); DeleteFile('C:\WINNT\system32\printer.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Карантин отправлен.
С нетерпением жду обнадеживающих новостей.
Карантинчик неправильно сделали. Надо было про Приложению 3 Правил.
stdole32.dat - Trojan.Perfcoo (по Симантеку)
Будем удалять.
Выполнить скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\system32\stdole32.dat'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Извиняюсь!
Высылаю карантин сделаный в AVZ.
Мне показалось что он не полный.
Последний раз редактировалось ula_2007; 04.10.2007 в 12:18.
он пустой и убрать отсюда, если не хотите получить нарушение
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Из вложений я "virus.zip" (его я делал через AVZ ) удалил и переслал через
ссылку в верху.
Скрипт выполнил но вирусяка все равно грузится при загрузке
Высылаю новые логи.
Последний раз редактировалось ula_2007; 05.10.2007 в 09:37.
На удивление стало еще больше.
Выполнить скрипт:
Загрузить карантин после перезагрузки.Код:begin ClearQuarantine; ClearHostsfile; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\WinAvXX.exe',''); QuarantineFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe'); BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe'); BC_DeleteFile('C:\WINNT\system32\printer.exe'); DeleteFile('C:\WINNT\system32\printer.exe'); DeleteFile('C:\WINNT\system32\WinAvXX.exe'); BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать лог в Safe Mode: http://virusinfo.info/showthread.php?t=10387
Добавлено через 12 минут
'C:\WINNT\system32\printer.exe' - Trojan.Win32.Qhost.pd
stdole32.dat - Trojan.Win32.Obfuscated.ii (по Касперскому)
Последний раз редактировалось PavelA; 04.10.2007 в 13:21. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Высылаю протокол сделаный
в безопасном режиме.
Последний раз редактировалось ula_2007; 05.10.2007 в 09:37.
уже получше. вот еще какой-то интересный файлик оказался:
Если попадет в карантин, загрузи отдельно от остальных.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\??\c:\huadio.tmp',''); BC_QrFile('c:\huadio.tmp'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отсылаю полный карантин
и отдельно huadio.tmp
huadio.tmp - чистый
Из скрипта №10 похоже все файлы убил твой антивирус.
Делай новый комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Всем спасибо.
Отдельное спасибо Павлу!
Тему закрываю.Перелью винду,а то это долгая басня.
Просто комп стоит в другом месте.
Да если необходимо какая-то процедура закрытия темы,
то сообщите.
Еще раз всех благодарю.
Зря. Я думаю, что на компе уже чисто. Переставлять винду не нужно, она живая.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не Паша ,после второй перезагрузки все как
с чистого листа.Грузится printer.exe,
запускается процесс WinAvX.exe.
Я думаю ядро по самое нехочу заражено.
Если есть десяток минут, подожди. Посмотрю в соседних темах, что мы с тобой недолечиваем.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
окей!
Профиксить:
в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe O4 - Startup: system.exe O4 - Global Startup: autorun.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('C:\WINNT\system32\printer.exe'); BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe'); BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); BC_DeleteFile('C:\Documents and Settings\uadm08\Главное меню\Программы\Автозагрузка\system.exe'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) ula_2007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.