Не могу справиться с AutoRun.FakeAlert.M

[Igor_stv]

При попытке просканировать Nod32 - помещает в карантин кучу файлов из папки Temp, после проверки не запускается explorer.exe. Не дает запустить утилиту Dr.Web CureIt, из безопасного режима тоже! Не могу отключить восстановление системы- из безопасного режима тоже!
Что делать?

[snifer67]

http://virusinfo.info/pravila.html

[Никита Соловьев]

Нам не нужен журнал есет нод32, нам нужны логи по правилам

[Igor_stv]

Не запускается explorer.exe....

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
ExecuteRepair(13);
ExecuteRepair(9);
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1BEMV8V\91653219[1].exe','');
 QuarantineFile('C:\WINDOWS\insrepsp.exe','');
 QuarantineFile('C:\WINDOWS\system32\insrepsp.exe','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('D:\Backup\CopyD.bat','');
 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 QuarantineFile('C:\WINDOWS\system32\DartService.dll','');
 DeleteService('Minidriver');
 DeleteService('Wincach');
 DeleteService('Windows Interface Service');
 DeleteService('Windows Logon');
 DeleteService('windowsns2');
 DeleteService('winnet');
 DeleteService('winregfixer2');
 QuarantineFile('C:\WINDOWS\system32\winlogins.exe','');
 QuarantineFile('C:\WINDOWS\system32\winlog.exe','');
 QuarantineFile('C:\WINDOWS\system32\lsasss.exe','');
 QuarantineFile('C:\WINDOWS\system32\wincom.exe','');
 QuarantineFile('C:\WINDOWS\system32\ctffmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\winnet.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('c:\windows\system32\winagent.exe','');
 DeleteFile('c:\windows\system32\winagent.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\winnet.exe');
 DeleteFile('C:\WINDOWS\system32\ctffmon.exe');
 DeleteFile('C:\WINDOWS\system32\wincom.exe');
 DeleteFile('C:\WINDOWS\system32\lsasss.exe');
 DeleteFile('C:\WINDOWS\system32\winlog.exe');
 DeleteFile('C:\WINDOWS\system32\winlogins.exe');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1BEMV8V\91653219[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[Igor_stv]

Вроде все...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[Igor_stv]

Сделал...

[AndreyKa]

Чисто. Проблема решена?

[Igor_stv]

Вроде бы все отлично! Спасибо огромное! Вопрос: надо ли прогонять антивирусами еще ? и если что-то "вылезет" - заводить новую тему или можно в этой вопрос задавать?

[AndreyKa]

надо ли прогонять антивирусами еще ?

Как хотите.

что-то "вылезет" - заводить новую тему или можно в этой вопрос задавать?

Лучше новую. Эта будет закрыта автоматически через месяц.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\microsoft common\svchost.exe - Trojan-Dropper.Win32.VB.agak ( DrWEB: Win32.HLLW.Autoruner.6317 )
  2. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.mg ( DrWEB: Trojan.PWS.Webmonier.186 )
  3. c:\windows\system32\winagent.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Packed.683, BitDefender: Gen:Trojan.Heur.du0@tGDt21ai, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !