Здравствуйте, не могу отловить вирус.
Симптомы: блокирует антивирусы, меняет файл HOST, блокирует некоторые сайты, в основном ориентированные на борьбу с вирусами.
Подозрение на вирус
Здравствуйте, не могу отловить вирус.
Симптомы: блокирует антивирусы, меняет файл HOST, блокирует некоторые сайты, в основном ориентированные на борьбу с вирусами.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Admin\oxpy.exe \u
Повторить логи после скрипта.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\oxpy.exe',''); TerminateProcessByName('c:\windows\system32\wiacmfgr.exe'); QuarantineFile('c:\windows\system32\wiacmfgr.exe',''); DeleteFile('c:\windows\system32\wiacmfgr.exe'); DeleteFile('C:\Documents and Settings\Admin\oxpy.exe'); BC_DeleteSvc('ICF'); ExecuteRepair(13); ExecuteRepair(9); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по правой ссылке.
Последний раз редактировалось PavelA; 10.02.2010 в 10:16.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин отправил, вот новые логи.
Новая парочка образовалась:
Пришли карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\a.dll',''); QuarantineFile('C:\WINDOWS\Temp\tmp263.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин переделал, скрипт выполнил, тут новые логи.
'C:\WINDOWS\Temp\tmp263.exe' - этого у Вас что а/вирус съел?
До карантина он не доехал.
Через AVZ Файл - Мастер поиска и устранения проблем - Все проблемы исправить
>> Заблокированы настройки системы System Restore
выполнить скрипт:
повторить станд. скрипт №2. Лог прислать.Код:begin RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\Admin\LOCALS~1\Temp\a.dll', '')); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ',')); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал
по мне, в логах чисто. Проблемы остались?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Проблем нет. Спасибо Вам огромное.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\oxpy.exe - Backdoor.Win32.Cetorp.ak ( DrWEB: BackDoor.Tofsee )
- c:\windows\system32\wiacmfgr.exe - Trojan.Win32.Refroso.aodd ( DrWEB: BackDoor.IRC.Bot.217, BitDefender: Trojan.Agent.AOOA, AVAST4: Win32:Crypt-FVB [Trj] )
Уважаемый(ая) ramzes50, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
