C:\WINDOWS\system32\mdelk.exe Зараженный объект: Email-Worm.Win32.Bagle.of

**Bratez** · 16.04.2008, 10:22

Ладно, я думаю у вас не последний экземпляр

Ну теперь пора попробовать запустить AVZ и сделать логи.

Добавлено через 50 секунд

Перезагрузиться не забыли?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ZerLu** · 16.04.2008, 10:49

вроде всё, заработал звук (УРА!!!), сейчас попробую поставить антивирь NOD32

Добавлено через 4 минуты

Сообщение от Bratez

Ладно, я думаю у вас не последний экземпляр

Ну теперь пора попробовать запустить AVZ и сделать логи.

Добавлено через 50 секунд

Перезагрузиться не забыли?

перезагрузился, а теперь AZV

Добавлено через 6 минут

Сообщение от Bratez

Ладно, я думаю у вас не последний экземпляр

Ну теперь пора попробовать запустить AVZ и сделать логи.

Логи это сохранить результаты сканирования и выложить здесь??? а, что значит не последний экземпляр??? есть зараза ещё?

Добавлено через 3 минуты

Понял

Запустите AVZ ***. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

Добавлено через 2 минуты

Диспетчер задач теперь работает нормально (не на 100%)

**wise-wistful** · 16.04.2008, 10:59

есть зараза ещё?

Имелось ввиду, что кто-то ещё может подхватить подлеца и тогда возьмём экземпляры.

**ZerLu** · 16.04.2008, 11:37

Скрипт лечения/карантина и сбора (virusinfo_syscure.zip) вот он... там в папке есть еще
теперь перезагрузка и это
"10. Запустите AVZ***. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip."

**Bratez** · 16.04.2008, 11:53

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('present.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\MEI006E.sys','');
 QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
 QuarantineFile('C:\WINDOWS\System32\DPIO.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
 QuarantineFile('C:\Documents and Settings\Aleksander\Application Data\m\flec006.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21586).

**ZerLu** · 16.04.2008, 12:02

теперь virusinfo_syscheck.zip.

**ZerLu** · 16.04.2008, 12:06

так должно выглядеть???

**Bratez** · 16.04.2008, 12:11

Да, правильно.

**ZerLu** · 16.04.2008, 12:25

Сообщение от Bratez

Да, правильно.

я всё... что дальше???

**kps** · 16.04.2008, 12:28

Вашего карантина не видно, загрузите его, как написал Bratez.
Восстановление системы отключили?

**ZerLu** · 16.04.2008, 12:40

Сообщение от Bratez

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21586).

выбераю все

Добавлено через 11 минут

Результат загрузки
Файл сохранён как 080416_033725_virus ZerLu_4805bac596bc9.zip
Размер файла 7030198
MD5 f5c6f23aca6c87b10e6eb21ae0e757ca
Файл закачан, спасибо!

**kps** · 16.04.2008, 12:53

Если еще не отключили восстановление системы - отключите.
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\RedSwoosh.cpl','');
QuarantineFile('C:\WINDOWS\present.exe','');
QuarantineFile('C:\WINDOWS\system32\present.exe','');
QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS\system32\BCGCBPRO951u80.dll','');
QuarantineFile('c:\program files\utorrent\utorrent.exe','');
DeleteFile('c:\documents and settings\aleksander\application data\m\flec006.exe');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21586 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи (3 лога).

Для информации: C:\Documents and Settings\Aleksander\Application Data\m\flec006.exe - Email-Worm.Win32.Bagle.of

**ZerLu** · 16.04.2008, 13:33

Результат загрузки

Файл сохранён как080416_043020_virus ZerLu_4805c72c3fea7.zipРазмер файла8849309MD56bb933cdea89f06906700302fb496260Файл закачан, спасибо!

Перезагрузил

Прислал

Проблемы устранил

Новые логи???

**kps** · 16.04.2008, 13:33

Да, ждем 3 новых лога по правилам.

**ZerLu** · 16.04.2008, 13:36

Сообщение от kps

Да, ждем 3 новых лога по правилам.

virusinfo_syscure.zip
virusinfo_syscheck.zip

какой третий???

**wise-wistful** · 16.04.2008, 13:38

После HJT - hijackthis.log.

**kps** · 16.04.2008, 13:38

hijackthis.log
см. пункт 11 правил и дальше.

**ZerLu** · 16.04.2008, 14:19

понятно, я скоро

Добавлено через 35 минут

virusinfo_syscure.zip

Добавлено через 3 минуты

вот virusinfo_syscure.zip

............не получается приложить???