Junior Member
Вес репутации
59
Trojan.Win32.Killav как убить
Симптомы следующие.
AVZ- постоянно находит дрянь и не удаляет ее.
Безопасный режим запускается только с помощью скрипта для AVZ,
после очередной загрузки снова приходится применять скрипт.
Cureit не запускается, запускал с CD, сделанного на другом компе, в
безопасном режиме, пишит ошибка setup.exe и все, тоже вылетает.
Посмотрите логи может есть еще идеи..
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearhostsfile;
TerminateProcessByName('c:\windows\system32\soundmix.exe');
QuarantineFile('c:\windows\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\nl132458.dll','');
QuarantineFile('C:\WINDOWS\system32\ieframe.dll','');
QuarantineFile('C:\WINDOWS\system32\an579372.dll','');
QuarantineFile('C:\WINDOWS\system32\ao579372.dll','');
QuarantineFile('C:\WINDOWS\system32\DWFPortMon3.dll','');
QuarantineFile('C:\WINDOWS\system32\ao579372.dll','');
DeleteFile('C:\WINDOWS\system32\ao579372.dll');
BC_DeleteFile('C:\WINDOWS\system32\ao579372.dll');
DeleteFile('C:\WINDOWS\system32\ao579372.dll');
BC_DeleteFile('C:\WINDOWS\system32\ao579372.dll');
DeleteFile('C:\WINDOWS\system32\an579372.dll');
BC_DeleteFile('C:\WINDOWS\system32\an579372.dll');
DeleteFile('C:\WINDOWS\system32\nl132458.dll');
BC_DeleteFile('C:\WINDOWS\system32\nl132458.dll');
DeleteFile('c:\windows\system32\soundmix.exe');
BC_DeleteFile('c:\windows\system32\soundmix.exe');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(10);
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26442 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Последний раз редактировалось Numb; 14.07.2008 в 11:36 .
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Похоже, у вас еще и файловый вирус.
Сделаем так -
1. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\avz4\avz4\avz.exe','');
QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('C:\WINDOWS\system32\nl132458.dll','');
QuarantineFile('C:\WINDOWS\system32\mm579372.dll','');
QuarantineFile('C:\WINDOWS\system32\ao579372.dll','');
DeleteFile('C:\WINDOWS\system32\ao579372.dll');
DeleteFile('C:\WINDOWS\system32\mm579372.dll');
DeleteFile('C:\WINDOWS\system32\nl132458.dll');
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
DelBHO('{00011268-E188-40DF-A514-835FCD78B1BF}');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=26442 ).
3. Выполните лечение файлового вируса, как написано здесь (способ 1):
http://virusinfo.info/showthread.php?t=15927 .
4. Скачайте заново AVZ и HijackThis и сделайте новые логи.
Не забудьте предварительно обновить базы AVZ.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Спасибо большое! теперь вроде все чисто
Последний раз редактировалось pomy; 23.07.2010 в 12:40 .
Junior Member
Вес репутации
59
Сообщение от
pomy
Спасибо большое! теперь вроде все чисто
Сорри, AVZ обновил, вот новые логи
Последний раз редактировалось pomy; 23.07.2010 в 12:40 .
Junior Member
Вес репутации
59
И еще, поле загрузки окон вылезает сообщение об ошибке приложения imscinst.exe, что это?
Заранее премного благодарен.
пофиксите ...
Код:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184
выполните скрипт ...
Код:
begin
DeleteFile('imscinst.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\an579372.dll - Trojan.Win32.KillAV.nh (DrWEB: Win32.Sector.4) c:\\windows\\system32\\ao579372.dll - Trojan.Win32.KillAV.nh (DrWEB: Win32.Sector.4) c:\\windows\\system32\\nl132458.dll - Trojan.Win32.KillAV.nh (DrWEB: Win32.Sector.4) c:\\windows\\system32\\soundmix.exe - Virus.Win32.Sality.v (DrWEB: Trojan.Clive)