Невозможно просмотреть скрытые папки, вирус u2.cmd
Невозможно просмтореть скрытые файлы и папки. Вирус прописал видимо в реестре, не меняется даже когда я этого хочу. Также не убирается галочка с "защиты файлов виндовса". Уже в AVZ прописывал скрипт по автозапуску (и такое было, помогло) и по удалению u2.cmd. Но он видимо неудаляемый...Раза 3 уже удалял.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
отключить антивирус и инет, выполнить скрипт в авз
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\txp3.cpl',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); QuarantineFile('D:\WINDOWS\system32\webcheck.dll',''); QuarantineFile('D:\WINDOWS\system32\iedkcs32.dll',''); QuarantineFile('D:\WINDOWS\system32\amvo.exe',''); QuarantineFile('D:\WINDOWS\System32\Drivers\a20w1bu3.SYS',''); QuarantineFile('D:\WINDOWS\ContextMenuExt.dll',''); DeleteFile('D:\WINDOWS\system32\amvo.exe'); ExecuteRepair(6 ); ExecuteRepair(8 ); ExecuteRepair(9); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19350
Добавлено через 2 минуты
Обновить базы avz и сделать новые логи.
Последний раз редактировалось drongo; 07.03.2008 в 16:34. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Забыл сказать, что еще усть amvo. нашел ключик в автозапуске msconfig. Само собой, никакого amvo.exe по адресу windows/system32 нет. Или скрытый. А посмотреть не получиться. Человеку который скажет мне как отключять 3 Nod32 лично памятник поставлю...
Результат загрузки
Файл сохранён как 080307_090303_2008-03-07_47d1592711332.zip
Размер файла 4908307
MD5 26a8347643d7d1490bd557990c98cafc
Выполнил все как советовали...Скрытые файлы видны, но при попытке удалить злосчастный u2.cmd опять все по старому...Он находится на всех дисках в корне.
Последний раз редактировалось Fogbit; 07.03.2008 в 18:19. Причина: Добавил
AVZ случаем не с флешки запускали? Или вставили какую-нибудь в промежутках между лечением.
Просто он с очередной вставленной флешки прыгает к Вам на диски.
Для чистого эксперимента: пролечитесь, не вставляя ни одной флешки.
Сделайте логи, посмотрите есть ли там amvo.exe.
Если нет, то это другая флешка, если есть, то будем думать дальше.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Черт теперь придется лечить еще и от автозапуска. Насчет флешки - все верно, был подключен плеер. Забыл. с него то я и принес эту заразу. Щас вылечу анти авторановским скриптом и по новой. вообще, даже когда прогрмамы пытаются удалить u2.cmd он опять все портит мне...
Добавлено через 29 минут
проблема решилась таким скриптом:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\txp3.cpl','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('D:\WINDOWS\system32\webcheck.dll', '');
QuarantineFile('D:\WINDOWS\system32\iedkcs32.dll', '');
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
QuarantineFile('D:\WINDOWS\System32\Drivers\a20w1b u3.SYS','');
QuarantineFile('D:\WINDOWS\ContextMenuExt.dll','') ;
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('D:\u2.cmd');
DeleteFile('C:\u2.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
ExecuteRepair(6 );
ExecuteRepair(8 );
ExecuteRepair(9);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
end.
Надеюсь все будет ок. огромная благодарность сайту. А все же, не подскажите, как выключать нод третий?
Последний раз редактировалось Fogbit; 07.03.2008 в 19:30. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- \\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
- c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
- c:\\distrib\\progi\\converter.exe - Trojan-Spy.Win32.Webmoner.fl (DrWEB: archive: Trojan.MulDrop.9922)
- c:\\u2.cmd - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.MulDrop.6474)
- d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
- d:\\u2.cmd - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.MulDrop.6474)
- h:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
- h:\\u2.cmd - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.MulDrop.6474)
- \\u2.cmd - Trojan-GameThief.Win32.OnLineGames.ryx (DrWEB: Trojan.MulDrop.6474)
Уважаемый(ая) Fogbit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
