-
Junior Member
- Вес репутации
- 68
VB: Malware-gen - 1
Здравствуйте!
Вот напала эпидемия какая-то с вирусом VBS: Malware-gen
У двух машин я сделал полную чистку винта и переустановку.
А четыре полечил пао инструкции "Правила" этого раздела.
Тут подклеены результаты по первому.
Прошу помощи.
Результаты не подклеиваются.
Выдается:
"JaneYa, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации. "
Последний раз редактировалось JaneYa; 20.02.2008 в 01:49.
Причина: не дописал, случайно нажал отправить
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Залейте одним архивом на http://virusinfo.ifolder.ru/ и дайте ссылку.
-
-
Junior Member
- Вес репутации
- 68
Похоже, я понял, почему у мен не загружались.
Оказалось, что я превысил лимит вложений. Я удалил мои вложения за 2007 год.
И вот актуальные присоединились.
Последний раз редактировалось JaneYa; 01.03.2008 в 08:55.
-
ConnectionServices и BitAccelerator деисталировать ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
-
-
Junior Member
- Вес репутации
- 68
-
Интересно, а почему логи от 14 февраля? Или системная дата неверно стоит?
Выполните такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\oufddh.exe');
DeleteFile('E:\oufddh.exe');
DeleteFile('F:\oufddh.exe');
DeleteFile('H:\oufddh.exe');
DeleteFile('J:\oufddh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Проверьте дату, обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 68
Логи от 14 февраля, потому что я проверку делал 14 февраля.
Готово.
Последний раз редактировалось JaneYa; 01.03.2008 в 08:55.
-
Что-то опять все на месте, давайте еще разок, вот такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\oufddh.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\oufddh.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\oufddh.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\oufddh.exe');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\oufddh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 68
Ок. Сделал.
А эта собака действительно живучая.
Я в своем четвертой подобной теме писал, что оно блокирует включение отображения скрытых файлов, и, как я понимаю, ныкается на дисках в виде скрытых файлов.
Причем любит падать на флешки и ныкаться там тоже, из-за чего бысто переносится на другие компьютеры.
На двух компах я избавился от него путем полной очистки и форматирования винта. Причем на одном из них это уже опять осело.
Пробовал просто переустановить винду, оставив нужную информацию на другом диске.
Не помогает, при первой загрузке только установленной винды - тот же показатель - блокировка выключателя отображения скрытых файлов.
И при сканировании выявляются вирусы.
Ещё характерно обязательное хроническое наличие авторановского виря.
Последний раз редактировалось JaneYa; 01.03.2008 в 08:55.
-
Теперь в логах все чисто.
Для устранения последствий выполните скрипт:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Рекомендуется отключить автозапуск всех дисков (см в разделе ЧаВо).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 68
Bratez, что-то я не нашел в чаво "отключить автозапуск всех дисков".
Если не затруднит, киньте сюда ссылочку на эту тему.
И ещё,... отключить автозапуск перед выполнением скрипта, а потом включить или отключить его на веки вечные?
-
Вот: http://virusinfo.info/showthread.php?t=16459
К скрипту это не имеет отношения, отключить совсем для своей безопасности.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 68
Благодарю, Bratez!
Ваше сопровождение помогло избавить мой комп от инфекции.
Машинка стала работать шустрее, и проблема с отображением скрытых файлов ушла.
Правда, попробовал скачать Curiet Dr.Weber'овский, - что-то долго ФлэшДжетом качало и, скачав 98% поставило крест на закачке.
Но может тут проблема внешняя, - ещё раз попробую.