Вставляем в компьютер флешку, на флешке появляется файл autorun.exe. Проверьте логи.
Вставляем в компьютер флешку, на флешке появляется файл autorun.exe. Проверьте логи.
Последний раз редактировалось Sergei_K; 18.05.2009 в 12:35.
- отключите восстановление системы
- выполните скрипт в AVZ (файл-выполнить скрипт. Подробнее):
- компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('PSUWNP.dll',''); QuarantineFile('C:\WINDOWS\system32\drive\calling.com',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',''); QuarantineFile('C:\WINDOWS\Temp\rdl3A.tmp.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GGLNYUKL\pin[1].exe',''); QuarantineFile('C:\System Volume Information\_restore{6407FED2-8DCE-4E7E-89F0-D1B8B2903EDC}\RP244\A0073624.msi',''); QuarantineFile('C:\System Volume Information\_restore{6407FED2-8DCE-4E7E-89F0-D1B8B2903EDC}\RP245\A0073676.msi',''); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('C:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
- пришлите карантин (Правила - приложение 3)
- выполните новые логи
Скрипт запустил, карантин выслал, логи прилагаю.
Проверьте, пожалуйста, логи. Очень хочется знать вылечился компьютер или еще нет.
И отдельный вопрос. Что и где почитать, что бы научиться "лечить" компьютеры по информации собранной программой AVZ?
Последний раз редактировалось Rene-gad; 18.05.2009 в 19:33.
- отключите восстановление системы
- выполните новые логи
У нас есть учебный курс для обучения. Вступайте в "Студенты"!!
http://virusinfo.info/showthread.php?t=15090
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1.Восстановление отключил, логи прилагаю.
2.Оставил заявку для зачисления в студенты. Очень хочется научиться лечить компьютеры самому. Имея 15-летний опыт программирования, надеюсь освоить сию науку.
Сделайте проверку на файловые вирусы - на всякий пожарный.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',''); QuarantineFile('C:\WINDOWS\Temp\rdl3A.tmp.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\PSUWNP.dll',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GGLNYUKL\pin[1].exe',''); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GGLNYUKL\pin[1].exe'); DeleteFile('C:\WINDOWS\Temp\rdl3A.tmp.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Все выполнено, логи прилагаю.
Очень хочется знать, вылечился ли коммпьютер.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drive\calling.com',''); RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=45768
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А вот карантина нет. Не смог он ничего в карантин записать. При выполнении скрипта было написано - Ошибка прямого чтения.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\drive\calling.com
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drive\calling.com',''); DeleteFile('C:\WINDOWS\system32\drive\calling.com'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Файла C:\WINDOWS\system32\drive\calling.com не нашлось.
Файл cpadvai.dll на который казался подозрительным программе AVZ, насколько я выяснил, принадлежип программе КриптоПро.
Поищите и пришлите файл по правилам (приложения 2 и 3).Код:C:\WINDOWS\SYSTEM32\PSUWNP.dll
Карантин выслал.
Хочется узнать вылечился компьютер или еще нет?
Последний раз редактировалось Rene-gad; 29.05.2009 в 16:47.
Да, можно считать что вылечились.
В карантине файл чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Начинаю учиться сам, надеюсь, быть полезным Вашему сайту и его посетителям.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 52
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\gglnyukl\pin[1].exe - Trojan.Win32.Buzus.azbz ( DrWEB: Trojan.PWS.LDPinch.4308 )
- c:\windows\temp\rdl3a.tmp.exe - Trojan.Win32.Buzus.azbz ( DrWEB: Trojan.PWS.LDPinch.4308 )
Уважаемый(ая) Sergei_K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.