-
Junior Member
- Вес репутации
- 52
Вирус VBS:malware-gen. Как вылечить?
Объявился на флешке вирус VBS:malware-gen, создает файлы exe с названиями папок, а сами папки скрывает. Удалить форматированием невозможно. При полной проверке нашел еще парочку вирусов. Вот файлы по выполненным рекомендациям.
Кстати, порекомендуйте антивирус, если можно.
Пытался загрузить лог для CureIt и его карантин - не проходят по размеру.
Последний раз редактировалось pig; 08.02.2010 в 05:47.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загружайте ТОЛЬКО файлы, указанные в разделе Диагностика, НЕ ПЕРЕИМЕНОВЫВАЯ их и НЕ МЕНЯЯ формат!!!
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O4 - Startup: D96AD0.lnk = C:\WINDOWS\system32\5E72E5\D96AD0.EXE
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DATA\SYSTEM\Xp.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\sweet.exe','');
QuarantineFile('C:\WINDOWS\system32\5E72E5\D96AD0.EXE','');
DeleteFileMask('C:\WINDOWS\system32\5E72E5\','*.*',true);
DeleteFileMask('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\','*.*',true);
DeleteFileMask('C:\DATA\','*.*',true);
DeleteDirectory('C:\DATA\');
DeleteDirectory('C:\WINDOWS\system32\5E72E5\');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74KC2A323342}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось pig; 09.02.2010 в 12:36.
Причина: поправил скрипт
-
-
Junior Member
- Вес репутации
- 52
Не могу выполнить скрипт.
Пишет что ошибка.
Too many actual parameters в позиции 8:12
А выполнять с подключенной флешкой? Или она уже чистая?
-
Попраил скрипт, выполняйте. Флэшка в нём не упоминается.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнился.
Файл карантина залил.
Вот логи.
Нужен ли лог и карантин от CureIt?
Как узнать очистилась ли флешка?
-
Junior Member
- Вес репутации
- 52
Ребят, ну что там? У меня все в порядке? Что с флешкой делать?
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный логи virusinfo_syscheck.zip;
Добавлено через 1 минуту
сделайте лог с включенной флешкой
Последний раз редактировалось polword; 12.02.2010 в 14:15.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
-
Скрипт выполните со вставленной флешкой
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные лог virusinfo_syscheck.zip;
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-