-
Junior Member
- Вес репутации
- 57
Вирус отобрал права Админстратора
Операционная система: XP Home
Антивирус: NOD32 (не запускается даже после переименования)
Отобраны права адмнимстратора: не запускается "Дисперчер задач", ...
AVZ - запустился только после переименования
HiJackThis - вообще не запустился, даже после перименования (Лог прислать не могу)
Половина программ на компе тоже не запускается - выдается сообщение "обнаружена ошибка ..."
Последний раз редактировалось YBBY; 19.03.2009 в 11:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://virusinfo.info/showpost.php?p=166807&postcount=1 у вас файловый вирус, пролечитесь, затем новые логи...
-
-
Junior Member
- Вес репутации
- 57
KIS 7 не установился
DrVEB обнаружил что практически все файлы "*.exe" заражены
после лечения изменилась только скорость работы компа в лучшую сторону
HiJackThis - запустился с CD
Последний раз редактировалось YBBY; 19.03.2009 в 11:54.
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
c:\windows\system32\rs32net.exe
C:\WINDOWS\System32\Drivers\ati7eixx.sys
C:\WINDOWS\system32\drivers\mrjjpr.sys
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\rs32net.exe');
StopService('ICF');
StopService('ati7eixx');
StopService('abp470n5');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mrjjpr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7eixx.sys','');
DeleteService('ICF');
DeleteService('ati7eixx');
DeleteService('abp470n5');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\icf.exe.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\drivers\mrjjpr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7eixx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_DeleteSvc('ati7eixx');
BC_DeleteSvc('abp470n5');
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Был только "rs32net.exe"
Теперь всё работает.
Большое спасибо.
Последний раз редактировалось YBBY; 19.03.2009 в 11:54.
-
IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\System32\Drivers\ati7eixx.sys
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Обновите базы АВЗ
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ati7eixx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7eixx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7eixx.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True)
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось YBBY; 19.03.2009 в 11:54.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati7eixx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7eixx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati7eixx');
BC_Activate;
RebootWindows(true);
end.
Жалобы есть?
-
-
Junior Member
- Вес репутации
- 57
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\qwe - Trojan.Win32.Agent.azqs (DrWEB: BackDoor.Bulknet.320)
- \\2008-12-24\\1 - Rootkit.Win32.Protector.cd (DrWEB: BackDoor.Bulknet.240)
-