Win32/Virut.NBP в оперативной памяти
У меня пишет, что Win32/Virut.NBP найден в оперативной памяти. Инфекция системной памяти происходит из файла C:\WINDOWS\Explorer.EXE
Антивирус НОД32 вылечил или удалил зараженные файлы (в основном ЕХЕ, кроме вот этого Explorer.EXE)
Правда, при запуске антивируса НОД32 выдало, что проверка CRC файла NOD32.EXE , что он поврежден, возможно инфицирован.
Также, при запуске AVZ с подключенным интернетом не создался virusinfo_syschek.zip
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('protect'); StopService('ethbrdfv'); StopService('aslm75'); QuarantineFile('C:\WINDOWS\TEMP\rtv_winupd.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nod32drv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ethbrdfv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\aslm75.sys',''); DeleteService('protect'); DeleteService('ethbrdfv'); DeleteService('aslm75'); DeleteFile('C:\WINDOWS\TEMP\rtv_winupd.exe'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ethbrdfv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\aslm75.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('protect'); BC_DeleteSvc('ethbrdfv'); BC_DeleteSvc('aslm75'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо! Сделал, как написали.
Прилагаю логи. Послал карантин
Ой, а что, надо было скопировать и вставить в сообщение данные о загруженом файле карантина?
Ведь после загрузки карантина написало лишь, что файл загружен и не было указания скопировать данные о загруженом карантине и вставить в сообщение(
Хотел исправить, но выдало, что такой карантин уже закачан. Как узнать его имя (адресс)?
Выполните проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('restore'); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys',''); QuarantineFile('Ati2evxx.dll',''); DeleteFile('Ati2evxx.dll'); DeleteFile('C:\WINDOWS\system32\drivers\restore.sys'); DeleteService('restore'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('restore'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделал. Прилагаю.
Карантин
Файл сохранён как 090430_005911_virus_49f8bf9fe4923.zip
Размер файла 232024
MD5 4d8dc81a2b06d4d18eec59c72241efa9
Переустановил ОС. перед этим почистив антивирусом из безопасного режима. Якобы все функционирует, а там посмотрим...
Если Вы собирались переустанавливать систему, какой смысл в ее предварительной проверке? Я еще понимаю, что перед тем, как резать кабана на колбасу, его проверяют на болезни, а ОС????Сообщение от goutsoullac
Ati2evxx.dll, NDIS.sys
Вредоносный код в файлах не обнаружен.
Да уж не вините, кгда проверял антивирусом все диски на харде, то не планировал еще за тем переустанавливать ОС (но очень боялся, что занесу флешкой какой-то руткит с рабочего компа). А потом уже вообще пошли "тормоза". особенно при работе в интернете... так что иного выхода уже не было.
Спасибо Вам за предыдущую помощь, так как благодаря ей я именно сумел сохранить нужные мне материалы.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) goutsoullac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
