-
Junior Member
- Вес репутации
- 54
Помогите одолеть вирус Virut
Проблема такова - комп начинает тормозить и блокирует доступ ко многим антивирусным сайтом, в т.ч и к этому.
nod32 обнаруживает и не может удалить вирус Virut.NBR и червь VB.NJO
Кроме того, зараженный комп заражает и флэшки кидая туда скрытые exe фАйлы зараженные вирусом.
Очень буду благодарен за помощь!
Последний раз редактировалось pannet; 10.03.2010 в 20:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Как лечить Файловый вирус - http://virusinfo.info/showthread.php?t=15927
После процедуры лечения сделайте новые логи!
-
-
Junior Member
- Вес репутации
- 54
Все сделал. Использовал DrWeb.
Лог доктора веба и новые логи прикладываю.
P.S. В карантине AVZ - 14 *.dta файлов
C:\WINDOWS\system32\DPNSVR.EXE инфицирован Win32.Virut.56 - исцелен
C:\WINDOWS\system32\lsass.exe инфицирован Win32.Virut.56 - исцелен
C:\WINDOWS\system32\sdra64.exe инфицирован Win32.Virut.56 - исцелен
C:\WINDOWS\system32\sdra64.exe инфицирован Trojan.PWS.Panda.114 - удален
C:\WINDOWS\system32\SyncMan.exe инфицирован Win32.Virut.56 - исцелен
C:\WINDOWS\system32\SyncMan.exe инфицирован Trojan.DownLoad1.39248 - удален
C:\WINDOWS\system32\drivers\333.exe инфицирован Win32.Virut.56 - исцелен
C:\WINDOWS\system32\drivers\333.exe инфицирован Trojan.PWS.Panda.114 - удален
C:\WINDOWS\temp\VRT11.tmp инфицирован Trojan.DownLoad.37236 - удален
C:\WINDOWS\temp\VRT1122.tmp инфицирован Trojan.DownLoad.37236 - удален
C:\WINDOWS\temp\VRT1123.tmp инфицирован Trojan.DownLoad1.39248 - удален
C:\WINDOWS\temp\VRT12.tmp инфицирован Trojan.DownLoad1.42322 - удален
C:\WINDOWS\temp\VRT14.tmp инфицирован Trojan.DownLoad1.39303 - удален
C:\WINDOWS\temp\VRT2.tmp инфицирован Trojan.DownLoad1.44779 - неизлечим - перемещен
C:\WINDOWS\temp\VRT27.tmp инфицирован BackDoor.IRC.Nite.42 - удален
C:\WINDOWS\temp\VRT3C.tmp инфицирован BackDoor.Siggen.7274 - удален
C:\WINDOWS\temp\VRT4.tmp инфицирован Trojan.DownLoad1.42322 - удален
C:\WINDOWS\temp\VRT4B.tmp инфицирован BackDoor.Siggen.7274 - удален
C:\WINDOWS\temp\VRT5.tmp инфицирован Trojan.DownLoad1.42322 - удален
C:\WINDOWS\temp\VRT6.tmp инфицирован Trojan.DownLoad.37236 - удален
C:\WINDOWS\temp\VRT60.tmp инфицирован BackDoor.Siggen.7274 - удален
C:\WINDOWS\temp\VRT65.tmp инфицирован BackDoor.IRC.Nite.42 - удален
C:\WINDOWS\temp\VRT6E.tmp инфицирован BackDoor.IRC.Nite.42 - удален
C:\WINDOWS\temp\VRT7.tmp инфицирован Trojan.DownLoad1.39248 - удален
C:\WINDOWS\temp\VRT8.tmp инфицирован Trojan.DownLoad1.42322 - удален
C:\WINDOWS\temp\VRT9.tmp инфицирован Trojan.DownLoad.37236 - удален
C:\WINDOWS\temp\VRTA.tmp инфицирован Trojan.DownLoad.37236 - удален
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
QuarantineFile('C:\DOCUME~1\DIMA\LOCALS~1\Temp\H9o05s6p.sys','');
DeleteFile('C:\DOCUME~1\DIMA\LOCALS~1\Temp\H9o05s6p.sys');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\system32\svchost');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Прикрепляю логи, карантин выслал.
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\explorer.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
C:\WINDOWS\explorer.exe замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Все сделал, карантин выслал
-
Жаль, но запрошенный файл в карантин не попал.
Если файл заменили, сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Файл заменил, сделал новый карантин с explorer. exe и новые логи.
-
Пофиксите в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userini');
end.
Компьютер перезагрузится.
Сделайте новые логи virusinfo_syscheck.zip и hijackthis.log
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Все сделал. Компьютер не перезагрузился, перезагрузил вручную.
Новые логи прикрепляю.
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Новый лог virusinfo_syscheck.zip сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 39
- В ходе лечения вредоносные программы в карантинах не обнаружены
-