-
Junior Member
- Вес репутации
- 59
Win32.HLLW.Autoruner.1282
Добрый день...
На "машине" установлен Др веб с последними базами, так же система сканилась в безопасном режиме последним Cureit`om нитот ни другой ненаходят вируса. Монитор веба тоже молчит. Но поставив флешку в этот компьютер и после в другой-вуаля! тот же Др веб с теми же базами видит Win32.HLLW.Autoruner.1282 и спокойно его удаляет с флехи, так можно повторят ьиз раза в раз (после того как флеха побывает в зараженном компе она 100% заражена). Помогите пожалуйста как почистить сию "машинку".
Логи...
Последний раз редактировалось elpago; 04.05.2008 в 12:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
virusinfo_cure.zip - удалите через Мой кабинет - вложения. Это карантин, его сюда нельзя, его нужно присылать по ссылке вверху темы.
Логи делались при подключенной флешке?
Прикрепите еще virusinfo_syscure.zip
-
-
Junior Member
- Вес репутации
- 59
Прошу прощения торопился когда делал и нито сунул во вложение...
Логи делались со всключеной флешкой.
Лог добавляю...У компьютера после проверки AVZ перестало пускать на диск логический(он что то удалял при проверки).
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 04.05.2008 в 12:54.
-
Выполните скрипт в AVZ при подключенной флешке:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\DOCUME~1\Zina\0016~1\THEBES~1\THEBES~1.SCR','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22417 ).
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 04.05.2008 в 13:21.
-
У Вас Worm.Win32.AutoRun.cxk.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Junior Member
- Вес репутации
- 59
Через некоторое время после включения компьютер выдает ошибку
NMIndexStoreSvr.exe-обнаружена ошибка. Приложение будет закрыто ну и т.п. Начала вылазить после чистки AVZ
-
Вы уверены, что это новый лог, а не старый ? Все файлы зловреда на месте. Сделайте и прикрепите новые логи, в том числе virusinfo_syscheck.zip
По поводу ошибки -
Пуск -> Выполнить - скопируйте и вставьте: C:\Program Files\Common Files\Ahead\Lib\NeroScoutOptions.exe - нажмите ОК - в открывшемся окне убрать галочку с "Включить Nero Scout" и нажать ОК.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Как ведет себя ПК?
Т.е. я бы кое-чего повыкидывал, но если Вам не мешает, то пусть будет .
-
-
Junior Member
- Вес репутации
- 59
Все вроде бы в порядке.Нестало ошибки и флешка после включения чистая. Ноут девушки я бы тоже кое чего повыкидывал Подскажите что бы вы выкинули?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.cxk (DrWEB: Win32.HLLW.Autoruner)
- c:\\windows\\system32\\amvo0.dll - Worm.Win32.AutoRun.cxk (DrWEB: Trojan.PWS.Wsgame.3434)
- c:\\windows\\system32\\amvo1.dll - Worm.Win32.AutoRun.cxk (DrWEB: Trojan.PWS.Wsgame.3434)
- e:\\autorun.inf - Worm.Win32.AutoRun.cxk (DrWEB: Win32.HLLW.Autoruner)
-