Замучали два вируса win32.injector.WN и Win32.AvtoRun.IRCBot.BO worn
Замучали два вируса win32.injector.WN и Win32.AvtoRun.IRCBot.BO worn
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\htdschk.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\lsass.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226\mwau.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226\mwau.exe'); DeleteFileMask('C:\RECYCLER\S-1-5-21-5496664438-4598541684-672052603-7226', '*.*', true); DeleteFile('C:\WINDOWS\system32\drivers\lsass.exe'); DeleteFile('c:\docume~1\9335~1\locals~1\temp\htdschk.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправляю логи, сделал так как сказали, но проблема win32.AvtoRun.IRCBot.BO осталась, плюс появился IRC/SdBot trojan, что делать?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\662GXLGA\xx6[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\662GXLGA\xx6[1].exe'); DeleteFileMask('C:\WINDOWS\system32','??.scr',false); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сделал согласно ваших рекомендаций, посмотрите пожалуйста логи.
Когда включил Nod32 антивирусник дальше выдает сообщение о карантине и о попытке доступа к компу, в карантине идет ссылка на AvtoRan.IRCBot.Bo, Dialer.NGB trojan, Win32.Agent trojan..........Через некоторое время работы в инете выскакиевает системная ошибка нажав на ОК или Отмена зависат комп.
Последний раз редактировалось Rene-gad; 14.08.2009 в 19:33.
Сделайте проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927
Добавлено через 2 минуты
Вы карантин закачали? Удалите его совсем: замаркируйте папку в Проводнике и нажмите Shift+Del
НОД должен быть отключен!!
Последний раз редактировалось Rene-gad; 14.08.2009 в 19:35. Причина: Добавлено
Проверил систему в безопасном режиме DrWeb - CureIT! (он нашел и удалил файл с расширением ipg и описал его как dialer.Siggin.121), но снова нет никакого результата.
При выпллнение последнего скрипта НОД отключил, включил его только после того как отправил вам логи.Вы писали что необходимо удалить карантин, а как это сделать?
Сейчас после входа в интернет НОД выдает вот такие сообщения:
14.08.2009 20:21:16 HTTP filter file http://bowlingbar.ch/c1.exe Win32/AutoRun.IRCBot.BO worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
14.08.2009 20:21:21 HTTP filter file http://94.76.194.116/d.exe
IRC/SdBot trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
14.08.2009 17:45:50 HTTP filter file http://94.76.194.116/xx6.exe Win32/Dialer.NGB trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
А через какое то время выскакиевает ошибка "Инструкция по адресу "0х6f8917c2" обратилась к памяти по адресу "0х6f8917c2" Память не может быть "read"" после чего зависает комп.
Я понял, что Вы карантин АВЗ имеете ввиду: папку ..avz\quarantine просто удалить
Сделайте лог GMER
Gmer логи.
Надежда умирает последней.
Ничего враждебного.
Обновите систему - перестанут враги стучаться
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 70
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) RomarioRK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.