-
Junior Member
- Вес репутации
- 57
Win32/AutoRun.Qhost.A
Появился вирус, который NOD32 определяет как Win32/AutoRun.Qhost.A, он с завидным постоянством пытается подключиться к интернету и что-то скачать. Нод его убивает, но он опять появляется. AVZ не реагирует.
+компьютер при загрузке выдаёт картинку рабочего стола, курсор мышки и думает минуты 2, после чего вылетает окошко, в котором пишется про личные настройки и что-то с RECYCLER и длинным названием с цифрами. (подобное было ещё до Qhost'a)
Логи прилагаю
.
Последний раз редактировалось Ветеран рунета; 28.09.2010 в 22:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
QuarantineFile('mswshl.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('eaxhmuuwsrl');
QuarantineFile('C:\WINDOWS\system32\drivers\ulwvt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ulwvt.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('digeste.dll');
DeleteFile('mswshl.dll');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=39341
-
-
Junior Member
- Вес репутации
- 57
Карантин залил, правда часть файлов оттуда удалил НОД32, узнав в нём Win32/AutoRun.Agent.IG
Вирус вроде не выскакивает, но при загрузке комп всё равно думает, отображая курсор и рабочий стол.
-
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось Ветеран рунета; 28.09.2010 в 22:16.
-
Пофиксить
Код:
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O20 - Winlogon Notify: reset6 - C:\WINDOWS\
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 57
Спасибо большое
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-