Здрвствуйте! Помогите удалить Троянский вирус!
Здрвствуйте! Помогите удалить Троянский вирус!
Последний раз редактировалось Don; 26.05.2008 в 19:00.
Я сделал все! Помогите удалить троянский вирус! Заранее спасибо!
Последний раз редактировалось Don; 26.05.2008 в 19:00.
Отключить антивирус.
Профиксить:
Выполнить скрипт.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
Загрузить карантин. Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sam.exe.exe',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\Documents and Settings\OlgaB\cftmon.exe',''); QuarantineFile('.vbe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Flr85.sys',''); StopService('Flr85'); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Flr85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys'); DeleteFile('.vbe'); DeleteFile('C:\Documents and Settings\OlgaB\cftmon.exe'); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('C:\WINDOWS\msauc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\sam.exe.exe'); BC_DeleteSvc('FCI'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Я загрузил Скрипты, а вирус остался по прежнему. Что делать?
Последний раз редактировалось Don; 26.05.2008 в 19:00.
если у вас один компьютер , не нужно создавать
несколько тем, вы только путаете нас, оставайтесь в одной теме.
Добавлено через 12 минут
Отключите антивирус,интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Новый карантин загрузить. -> http://virusinfo.info/upload_virus.php?tid=22170Код:begin ClearQuarantine; SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\qandr', 'Start'); BC_QrFile('C:\WINDOWS\System32\drivers\qandr.sys'); BC_QrFile('C:\WINDOWS\TEMP\3179.tmp.exe'); BC_DeleteSvc('qandr'); BC_DeleteFile('C:\WINDOWS\System32\drivers\qandr.sys'); BC_DeleteFile('C:\WINDOWS\TEMP\3179.tmp.exe'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Очистить временные файлы и сделать новые логи.
Последний раз редактировалось drongo; 29.04.2008 в 08:16. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Как обновить AVZ? пробую обновление баз, но всевремя ссылает на ошибку и повреждении файла.
Высылаю логи. Что скажете ребята?
Последний раз редактировалось Don; 26.05.2008 в 19:00.
Я папку карантин сделал в zip, правильно сделал? когда загружаю Вам, она говорит ошибка.
Грузите через ссылку вверху темы?
Вот сюда надо: http://virusinfo.info/upload_virus.php?tid=22170 - красная строчка вверху.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
http://virusinfo.info/upload_virus.php?tid=22170 - я пытаюсь загрузить туда папку Quarantine. А он требует zip папку. Как его найти? Или сделать?
Читаешь Правила. В Приложениях там написано.
Зайти в карантин, отметить те файлы, которые нужно упаковать, вверху нажать на дискетку. Пароль задавать не надо, все сделается автоматом. В папке Quarantine
найдешь zip-файл.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Получилось! Спасибо, посмотрите пожалуйста!
Добавлено через 2 часа 51 минуту
Ребята ничего нового нету?
Последний раз редактировалось Don; 29.04.2008 в 15:58. Причина: Добавлено
Я днем не могу скачать 3,5 метра. Может кто-нибудь другой посмотрит и отпишется.
ЛК ответила:
qandr.sys - Rootkit.Win32.Qandr.t свежий.
Остальные файлы чистые.
Добавлено через 15 минут
Профиксить:
Странно, что этого файлика не видно в AVZ.Код:O4 - HKCU\..\Run: [WintelUpdate] C:\WINDOWS\TEMP\3179.tmp.exe
Попробуй его через AVZ найти и загрузить его одного,если попадется.
Последний раз редактировалось PavelA; 29.04.2008 в 16:19. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Если после этого Профиксить:
Код:
O4 - HKCU\..\Run: [WintelUpdate] C:\WINDOWS\TEMP\3179.tmp.exe
то в AVZ повторить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sam.exe.exe',' ');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools .exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\Documents and Settings\OlgaB\cftmon.exe','');
QuarantineFile('.vbe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flr85. sys','');
StopService('Flr85');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr. sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Flr85.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys' );
DeleteFile('.vbe');
DeleteFile('C:\Documents and Settings\OlgaB\cftmon.exe');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe ');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\sam.exe.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(;
BC_Activate;
RebootWindows(true);
end.
Так? Или последний:
Код:
begin
ClearQuarantine;
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\qandr', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\qandr.sys') ;
BC_QrFile('C:\WINDOWS\TEMP\3179.tmp.exe');
BC_DeleteSvc('qandr');
BC_DeleteFile('C:\WINDOWS\System32\drivers\qandr.s ys');
BC_DeleteFile('C:\WINDOWS\TEMP\3179.tmp.exe');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(;
RebootWindows(true);
end.
Читаем вместе сообщение PavelA
Как правильно искать и присылать запрошенные файлы.Попробуй его через AVZ найти и загрузить его одного,если попадется.
Ребята я поробовал, вроде что то не понятно, все время указывает на подозрение, но комп пашет хорошо, а 2 дня назад было так, включаю комп а там сразу появляютя на рабочем столе Мой Документы, постоянно приходилось закрывать его, пока не ввел вот этот скрипт.
Отключить антивирус.
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe
Выполнить скрипт.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sam.exe.exe',' ');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools .exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\Documents and Settings\OlgaB\cftmon.exe','');
QuarantineFile('.vbe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flr85. sys','');
StopService('Flr85');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr. sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Flr85.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\Lrx85.sys' );
DeleteFile('.vbe');
DeleteFile('C:\Documents and Settings\OlgaB\cftmon.exe');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe ');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\sam.exe.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
__________________
Павел
спасибо за помощь, комп у меня пока пашет!
Уважаемый(ая) Don, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.