В системе и на 2 флешках присутствует вирус isi32.exe, запускается autorun.inf.
Не удаляется ни AVZ, ни форматированием флешки, появляеться снова.
Помогите, пожалуйста
В системе и на 2 флешках присутствует вирус isi32.exe, запускается autorun.inf.
Не удаляется ни AVZ, ни форматированием флешки, появляеться снова.
Помогите, пожалуйста
Последний раз редактировалось abssolut; 31.10.2009 в 17:39.
Выполнить:
Сделать заново логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\pagepromoterbar.dll',''); QuarantineFile('msansspc.dll',''); QuarantineFile('C:\WINDOWS\system32\digest.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati5gkxx.sys',''); DeleteService('ati5gkxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2hlxx.sys',''); DeleteService('ati2hlxx'); DeleteService('ati4lqxx'); QuarantineFile('C:\WINDOWS\system32\Drivers\ati4lqxx.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ati4lqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2hlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5gkxx.sys'); DeleteFile('msansspc.dll'); DeleteFile('C:\WINDOWS\pagepromoterbar.dll'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42044
В AVZ в Менеджере ActiveSetup удалить строчку с C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe
Надо отключить "Автозапуск флешек".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнила. С первой флешки вирус удалился. Повторила логи со второй флешкой. Автозапуск отключен. Похоже эта зараза еще на 2-х компах, мне создать отдельные темы или здесь выложить логи и с тех компьютеров?
Еще последнее время компьютер начал долго выключаться/перезагружаться, раньше такого не было, не подскажите с чем это может быть связано?
Последний раз редактировалось abssolut; 31.10.2009 в 17:39.
Для других компьютеров - другие темы. Можно с одинаковыми названиями, но с номерами.
Добавлено через 4 минуты
Все тоже самое.
Не забудьте почистить ActiveSetupКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe'); DeleteFile('I:\autorun.inf'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe'); ExecuteSysClean; RebootWindows(true); end.
Профиксить в HijackThis:
Логги повторить.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = + O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll (file missing) O4 - Global Startup: -
Последний раз редактировалось PavelA; 20.03.2009 в 08:06. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде все чисто. Спасибо огромное.
А насчет медленного выключения не знаете что может влиять, вирусов уже нет..?
Последний раз редактировалось abssolut; 31.10.2009 в 17:39.
Не все еще.
Выполнить:
Если не удалиться, то надо будет скачать icesword и удалить через него.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati4lqxx'); DeleteFile('C:\WINDOWS\system32\Drivers\ati4lqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4lqxx.sys'); BC_DeleteSvc('ati4lqxx'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Через AVZ не удалился, а как в icesword удалить его? Просто удалить файл C:\WINDOWS\System32\Drivers\ati4lqxx.sys ?
Да, именно так, потом выполнять скрипт для зачистки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде удалился. Проверьте, пожалуйста
Последний раз редактировалось abssolut; 31.10.2009 в 17:38.
В логах чисто.
Рекомендую поставить СП3 + последующие обновления.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за оперативность..))
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe - Worm.Win32.AutoRun.drq ( DrWEB: Trojan.Inject.3419, BitDefender: Packer.Krunchy.B )
- h:\autorun.inf - Worm.Win32.AutoRun.drq ( DrWEB: Win32.HLLW.Autoruner.2075, BitDefender: Trojan.Autorun.SS )
- h:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe - Worm.Win32.AutoRun.drq ( DrWEB: Trojan.Inject.3419, BitDefender: Packer.Krunchy.B )
- i:\autorun.inf - Worm.Win32.AutoRun.drq ( DrWEB: Win32.HLLW.Autoruner.2075, BitDefender: Trojan.Autorun.SS )
- i:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe - Worm.Win32.AutoRun.drq ( DrWEB: Trojan.Inject.3419, BitDefender: Packer.Krunchy.B )
Уважаемый(ая) abssolut, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.