-
Junior Member
- Вес репутации
- 53
Помогите вылечить компьютер от Worm.Win32.FlyStudio.bf
На машине были выполнены скрипты срипты 2 и 3 в Стандартных скриптах, но без перезагрузки, и лог Хайджека.Касперский постоянно выдаёт сообщение о Worm.Win32.FlyStudio.bf в файле c:\windows\system32\xp-2f03842a.exe , но удалить не может.
Предложил выполнить скрипт:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\XP-2F03842A.EXE','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\spec.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\internet.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\com.run','');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\internet.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\shell.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\spec.fne');
DeleteFile('C:\WINDOWS\system32\XP-2F03842A.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
И пофиксить:
Код:
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-2F03842A.EXE
Но ещё ничего не выполнили.Подскажите, если что проглядел.
Последний раз редактировалось Наумов_В; 18.02.2010 в 16:58.
"Не переживайте, скоро все гикнеца"
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить. Касперского тоже.
Правильнее будет вот так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XP-2F03842A.EXE','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\spec.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\internet.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\com.run','');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\internet.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\shell.fne');
DeleteFile('C:\DOCUME~1\690E~1\LOCALS~1\Temp\E_4\spec.fne');
DeleteFile('C:\WINDOWS\system32\XP-2F03842A.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
"Не переживайте, скоро все гикнеца"
-
логи новые делайте после скрипта
-