Junior Member
Вес репутации
60
Вирус Medichi, Medichi2 странный
Читал у вас тут тему, она как бы есть такая, но выложенный скрипт не помогает (( видимо что то другое! Итак... "Схватил вирус в папке Windows файлы Medichi.exe Medichi2.exe Murka.dat в System32 userv32.dat (подозрительная библиотека, после выгрузки которой медичи выполняет недопустимое ) как уже сказанно данный тут скрипт в похожей теме не помогает. Панель управления совйства моего компьютера и редактор реестра разблокировались но вирус по-прежнему мёртво сидит! время от времени предлагает скачать спайваир софтину. В логах хайджека не наблюдается медичи, только мурка дат. Помогите плиз очень не хочу форматировать раздел с виндой, хотя другого выхода уже не вижу (((((
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\DOCUME~1\1226~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ortyeras53d6-14c0.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\avpo0.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('c:\windows\soundman.exe','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\ortyeras53d6-14c0.sys');
DeleteFile('C:\DOCUME~1\1226~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_DeleteSvc('ortyeras53d6-14c0');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
P.S.: Чужие скрипты выполнять запрещено, Вы могли сделать только хуже!
Junior Member
Вес репутации
60
Re
хм, а в скрипте не надо было указывать medichi.exe и medichi2.exe? они ведь никуда не делись. Ладно молчу, молчу я не профессионал....... просто они есть как скрытые процессы, но на удивление в хайджеке не видны может это потому что я в реестре их убрал из автозапуска..... но они автобутятся......
Вложения
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\userv32.dat','');
QuarantineFile('C:\WINDOWS\medichi2.exe','');
QuarantineFile('C:\WINDOWS\medichi.exe','');
DeleteFile('C:\WINDOWS\medichi.exe');
DeleteFile('C:\WINDOWS\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\userv32.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16779 ).
Пофиксите в HijackThis:
Код:
O20 - AppInit_DLLs: murka.dat
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
RE RE
Вложения
В карантине:
medichi.exe - not-virus:Hoax.Win32.Renos.aom
medichi2.exe - not-a-virus:AdWare.Win32.Agent.aag
userv32.dat - not-a-virus:AdWare.Win32.Agent.zo
В логах чисто.
Выполните еще такой скрипт:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\ntde1ect.com');
DeleteFile('D:\ntde1ect.com');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Посмотрите, что вам нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 47 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437) c:\\windows\\medichi.exe - Hoax.Win32.Renos.aom (DrWEB: Trojan.Click.16393) c:\\windows\\medichi2.exe - not-a-virus:AdWare.Win32.Agent.aag (DrWEB: Trojan.Click.13693) c:\\windows\\murka.dat - Backdoor.Win32.Small.cbo (DrWEB: Trojan.Proxy.1739) c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.pdb (DrWEB: Trojan.MulDrop.6474) c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.pdb (DrWEB: Trojan.PWS.Wsgame.2387) c:\\windows\\system32\\avpo.exe - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437) c:\\windows\\system32\\avpo0.dll - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437) c:\\windows\\system32\\drivers\\beep.sys - Trojan.Win32.Obfuscated.mp (DrWEB: Trojan.NtRootKit.612) c:\\windows\\system32\\userv32.dat - not-a-virus:AdWare.Win32.Agent.zo (DrWEB: Trojan.Click.5043) d:\\autorun.inf - Worm.Win32.AutoRun.hn (DrWEB: Win32.HLLW.Autoruner.437)