Здравствуйте. Неделю назад подхватил вирус. Принесли на флэшке. Ни DrWeb, ни Cureit его не видят. Симптомы- блокировка диспетчера задач, свойств папки, поиска файлов. Помогите пожалуйста избавиться от вируса.
Здравствуйте. Неделю назад подхватил вирус. Принесли на флэшке. Ни DrWeb, ни Cureit его не видят. Симптомы- блокировка диспетчера задач, свойств папки, поиска файлов. Помогите пожалуйста избавиться от вируса.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\bad1.exe',''); QuarantineFile('C:\WINDOWS\system32\bad2.exe',''); QuarantineFile('C:\WINDOWS\system32\bad3.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\system.exe',''); QuarantineFile('C:\Program Files\Punto Switcher\ps.exe',''); QuarantineFile('c:\windows\system32\msmsgs.exe',''); QuarantineFile('c:\windows\explorer.exe',''); DeleteFile('C:\WINDOWS\system32\system.exe'); DeleteFile('C:\WINDOWS\system32\bad1.exe'); DeleteFile('C:\WINDOWS\system32\bad2.exe'); DeleteFile('C:\WINDOWS\system32\bad3.exe'); DeleteFile('F:\autorun.inf'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16728
Это вы добавили сайты в доверенную зону
Добавлено через 6 минутКод:O15 - Trusted Zone: http://*.capitaller.ru O15 - Trusted Zone: http://*.enum.ru O15 - Trusted Zone: http://*.exchanger.ru O15 - Trusted Zone: http://*.indx.ru O15 - Trusted Zone: http://*.megastock.com O15 - Trusted Zone: http://*.megastock.ru O15 - Trusted Zone: http://*.oplata.info O15 - Trusted Zone: http://*.paymer.com O15 - Trusted Zone: http://*.publicant.ru O15 - Trusted Zone: http://*.shareholder.ru O15 - Trusted Zone: http://*.softactivation.com O15 - Trusted Zone: http://*.telepat.ru O15 - Trusted Zone: http://*.webmoney.ru O15 - Trusted Zone: http://*.wmkeeper.com O15 - Trusted Zone: http://*.wmtransfer.com
Повторите логи...
Последний раз редактировалось akoK; 21.01.2008 в 14:26. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
спасибо, что откликнулись. карантин отправил. в список доверенных сайтов добавлял только webmony.
c:\windows\system32\msmsgs.exe - Worm.Win32.AutoIt.i
Microsoft Most Valuable Professional in Consumer Security
Значит остальные следует удалить, пофиксить данные строки в hijackthis
http://virusinfo.info/showthread.php?t=4491
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\msmsgs.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
спасибо, но что я должен с ним сделать?
скрипт выполнил, высылаю логи.
Вы фиксли в hijackthis?
Добавлено через 8 минут
Диск F: что это?
Последний раз редактировалось akoK; 21.01.2008 в 16:53. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
простите за мою заторможенность, но что именно я должен фиксить?
Добавлено через 2 минуты
F- это флэшка
Последний раз редактировалось guri; 21.01.2008 в 16:56. Причина: Добавлено
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\system.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\Program Files\Punto Switcher\ps.exe',''); DeleteFile('F:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\system.exe'); BC_DeleteFile('C:\WINDOWS\system32\system.exe'); SysCleanAddFile('C:\WINDOWS\system32\bad3.exe'); SysCleanAddFile('C:\WINDOWS\system32\bad1.exe'); SysCleanAddFile('C:\WINDOWS\system32\bad2.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportALL; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16728
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Из этого перечня профиксить ненужное:Код:O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
С помощь AVZ искать файлы: сервис-поиск файлов на дискеO15 - Trusted Zone: http://*.capitaller.ru
O15 - Trusted Zone: http://*.enum.ru
O15 - Trusted Zone: http://*.exchanger.ru
O15 - Trusted Zone: http://*.indx.ru
O15 - Trusted Zone: http://*.megastock.com
O15 - Trusted Zone: http://*.megastock.ru
O15 - Trusted Zone: http://*.oplata.info
O15 - Trusted Zone: http://*.paymer.com
O15 - Trusted Zone: http://*.publicant.ru
O15 - Trusted Zone: http://*.shareholder.ru
O15 - Trusted Zone: http://*.softactivation.com
O15 - Trusted Zone: http://*.telepat.ru
O15 - Trusted Zone: http://*.webmoney.ru
O15 - Trusted Zone: http://*.wmkeeper.com
O15 - Trusted Zone: http://*.wmtransfer.com
system.exe, bad1.exe, bad2.exe, bad3.exe
Осторожно с флешками отключение автозагрузки:
http://virusinfo.info/showthread.php?t=16459
Microsoft Most Valuable Professional in Consumer Security
AVZ нашёл system.exe только на флэшке. я её отформатировал.
в программе в кторой вы делали hijackthis.log выберите(галку поставить) строки которые выделены на фикс и нажмите Fix checked
Добавлено через 1 минуту
Какие проблемы после выполнения скрипта остались?
Последний раз редактировалось akoK; 21.01.2008 в 17:07. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
выполнил всё попунктно. после выполнения скрипта пропал рисунок рабочего стола, и стали долго открываться диски и папки из приложений (в проводнике всё нормально). в HijackThis пофиксил эти строчки ещё в первый раз, так что сейчас их нет. доверенные сайты пофиксил. поиск system.exe bad1bad2 bad3 с помощью AVZ ничего не дал.
Добавлено через 17 минут
жуть. в любых приложениях "открыть" "сохранить как" "обзор" тормозит по страшному. папки открываются больше минуты.
Последний раз редактировалось guri; 21.01.2008 в 18:20. Причина: Добавлено
В avz файл-Мастер поиска и устранения проблем
Смотрим все проблемы средней тяжести и устраняем...
Добавлено через 1 минуту
Также выполните стандартный скрипт №2 и дайте лог (тоже посмотрю)
Добавлено через 2 минуты
и HijackThis тоже
Последний раз редактировалось akoK; 21.01.2008 в 19:20. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Мастер поиска и устранения проблем- проблем не обнаружено.
после ExecuteRepair(5); - бываетпропал рисунок рабочего стола
из каких приложений?стали долго открываться диски и папки из приложений
Microsoft Most Valuable Professional in Consumer Security
скрипт выполнил. высылаю логи.
пробовал во всех приложениях, которые есть на компьютере- блокнот, фотошоп, неро, сорел дро, ексель, ворд, окно прикрепления файлов кнопка "обзор", везде одно и то же.
Добавлено через 2 минуты
и свойства рабочего стола кнопка "обзор"- то же.
Последний раз редактировалось guri; 21.01.2008 в 19:47. Причина: Добавлено
Уважаемый(ая) guri, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.