Тема аналогична этим двум: http://virusinfo.info/showthread.php?t=45242 и http://virusinfo.info/showthread.php?t=42879. Собсвенно опять нужно вылечить комп без радикальных мер. Прошу помощи.
Тема аналогична этим двум: http://virusinfo.info/showthread.php?t=45242 и http://virusinfo.info/showthread.php?t=42879. Собсвенно опять нужно вылечить комп без радикальных мер. Прошу помощи.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\pagefile.pif',''); QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38656.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38593.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.33437.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27453.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27437.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27390.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27015.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26828.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26781.exe',''); QuarantineFile('C:\WINDOWS\system32\SCVHOST.exe',''); QuarantineFile('C:\WINDOWS\system32\AB9F8E\BE9EA5.EXE',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.35906.exe',''); DeleteService('abp470n5'); DeleteService('NdisFileServices32'); QuarantineFile('C:\WINDOWS\system32\drivers\hpqgp.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ijlugn.sys',''); QuarantineFile('C:\WINDOWS\system32\dnsq.dll',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\shell.fne',''); QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\krnln.fnr',''); QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\eAPI.fne',''); QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\dp1.fne',''); QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\com.run',''); QuarantineFile('c:\windows\system32\com\smss.exe',''); QuarantineFile('c:\windows\system32\scvhost.exe',''); QuarantineFile('c:\windows\system32\com\lsass.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); QuarantineFile('c:\windows\system32\ab9f8e\be9ea5.exe',''); DeleteFile('c:\windows\system32\ab9f8e\be9ea5.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\system32\com\lsass.exe'); DeleteFile('c:\windows\system32\scvhost.exe'); DeleteFile('c:\windows\system32\com\smss.exe'); DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\com.run'); DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\dp1.fne'); DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\eAPI.fne'); DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\krnln.fnr'); DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\shell.fne'); DeleteFile('C:\WINDOWS\system32\drivers\ijlugn.sys'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.35906.exe'); DeleteFile('C:\WINDOWS\system32\AB9F8E\BE9EA5.EXE'); DeleteFile('C:\WINDOWS\system32\SCVHOST.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26781.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26828.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27015.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27390.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27437.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27453.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.33437.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38593.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38656.exe'); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('C:\WINDOWS\system32\mstmdm.dll'); DeleteFile('C:\pagefile.pif'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обычный AVZ не запускается? Скачайте файл http://narod.ru/disk/9321269000/avz.exe.html (это более свежая версия полиморфного AVZ).
Сделайте новые логи и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Последний раз редактировалось AndreyKa; 31.05.2009 в 14:52.
Пожалуйста
Компьютер заражен файловым вирусом Virus.Win32.Sality.aa (Win32.Sector.17) Как лечить: http://virusinfo.info/showthread.php?t=15927
К сожалению не помог др. вэб, даже салити офф не смог его до конца выкорчевать, а конкретно из msmsgs.exe или .dll, расширение точно не запомнил. Взять винт и просканить на здоровом компьютере нет возможности т.к. комп запечатанный. Что посоветуете?
P.S. AVZ и хайджек всё так же не работают, впрочем как остались и всё остальные признаки, а сделать логи полиморфным АВЗ я забыл(
Последний раз редактировалось Rene-gad; 25.05.2009 в 16:56.
http://virusinfo.info/showthread.php?t=15927
- попробуйте DrwebLivecd
- avptool и cureit в безопасном режиме и нормальном режиме
Все утилиты нужно скачивать на незараженных машинах.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\главное меню\программы\автозагрузка\~.exe.35906.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Sality.N )
- c:\docume~1\ae06~1\locals~1\temp\e_4\com.run - Trojan.Win32.Agent.cidw ( BitDefender: Trojan.Generic.1415580 )
- c:\pagefile.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\ab9f8e\be9ea5.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.4068, BitDefender: Win32.Sality.OG )
- c:\windows\system32\blastclnnn.exe - Worm.Win32.AutoRun.qvd ( DrWEB: Win32.HLLW.Texmer.43, BitDefender: Trojan.AutoIt.SV )
- c:\windows\system32\com\lsass.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\com\smss.exe - Virus.Win32.Xorer.dt ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DU )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.26781.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.26828.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27015.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27390.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27437.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27453.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.33437.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.38593.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.38656.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\csrcs.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
- c:\windows\system32\dnsq.dll - Trojan-PSW.Win32.Agent.acp ( DrWEB: Win32.HLLP.Rox.16, BitDefender: Trojan.Generic.1735818 )
- c:\windows\system32\drivers\ijlugn.sys - Virus.Win32.Sality.s ( DrWEB: Trojan.Ipsof, BitDefender: Trojan.Rootkit.AF )
- c:\windows\system32\scvhost.exe - P2P-Worm.Win32.Bacteraloh.h ( DrWEB: Win32.HLLW.Texmer.43, BitDefender: Trojan.AutoIt.SV )
- c:\windows\system32\wmdrtc32.dll - Virus.Win32.Sality.s ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Warezov.ET@mm )
- f:\tywk.cmd - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) GlikoGen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.