На всех дисках в корне находиться этот файл. При удалении он появляется снова через пару секунд.
На всех дисках в корне находиться этот файл. При удалении он появляется снова через пару секунд.
Последний раз редактировалось Sky_Tech; 22.04.2008 в 13:53.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfas', 4); StopService('zxsderfbukjfyshlhdfrstdzhdfas'); QuarantineFile('C:\Winlirc\irex.exe',''); QuarantineFile('K:\autorun.inf',''); QuarantineFile('I:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\x.com',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PRODIGY.SYS',''); QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfas.sys',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\portpro.sys',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('zxsderfbukjfyshlhdfrstdzhdfas.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\x.com'); DeleteFile('D:\x.com'); DeleteFile('E:\x.com'); DeleteFile('I:\x.com'); DeleteFile('K:\x.com'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('I:\autorun.inf'); DeleteFile('K:\autorun.inf'); DeleteService('zxsderfbukjfyshlhdfrstdzhdfas'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17665
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Последний раз редактировалось akoK; 07.02.2008 в 01:13. Причина: по требованию:)
Microsoft Most Valuable Professional in Consumer Security
А как вы файлы прочитали если 0 скачек? Или для хелперов оно не учитывает?
Winlirc\winlirc.exe это дистанционное управление через ик порт.
x.com у меня на всех дисках. Добавить строки в скрипт?
DeleteFile('D:\x.com');
DeleteFile('E:\x.com');
DeleteFile('I:\x.com');
DeleteFile('K:\x.com');
Смысла нет я уже добавил в скрипт
Microsoft Most Valuable Professional in Consumer Security
Ну сначала не было
Согласен не было, потом прочитал и поправил
Microsoft Most Valuable Professional in Consumer Security
Карантин на месте 080206_162756_virus_47aa346c1b1a1.zip
Добавлено через 2 минуты
страно но строки O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe нету в HijackThis
Последний раз редактировалось Sky_Tech; 07.02.2008 в 01:31. Причина: Добавлено
Нет это хорошо...
Добавлено через 10 минут
C:\WINDOWS\system32\amvo.exe - Trojan-PSW.Win32.OnLineGames.qso
C:\x.com - Trojan-PSW.Win32.OnLineGames.qso
C:\WINDOWS\system32\amvo.exe - Trojan-PSW.Win32.OnLineGames.qso
C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnLineGames.qso
Если есть он-лайн игры меняйте пароли
Последний раз редактировалось akoK; 07.02.2008 в 01:41. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
что мне делать теперь удалить все в карантине?
в игры неиграю темболее онлайн.
Сделайте новые логи, посмотрим, не осталось ли чего.
I am not young enough to know everything...
Новые логи
Последний раз редактировалось Sky_Tech; 22.04.2008 в 13:53.
Логи чистые.
I am not young enough to know everything...
Уважаемый(ая) Sky_Tech, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.