-
Junior Member
- Вес репутации
- 51
поймал вирус (драйвер) авз не обновляется.
Вобщем девочка скачала с одного сайта ехе файл, якобы драйвер для просмотра видео С компом что-то неладно теперь. Антивирусы не обновляются, АВЗ тоже... Постоянно открывается окно IE с ошибкой скачивания файла пока не убьешь процесс winexp.exe. Компьютер еще загружается очень долго. Но потом более менее не тормозит.
Логи с авз выкладываю, только базы наверно старые там... Помогите пожалуйста! Если нужно могу дать ссылку откуда был скачан драйвер, я его смотрел через вирустотал, обнаруживается только 4 антивирусами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: Скачайте файл тут и распакуйте его в папку ..avz\base.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\taskmsgr.exe');
TerminateProcessByName('c:\windows\winlogin.exe');
QuarantineFile('C:\WINDOWS\taskmsgr.exe','');
QuarantineFile('C:\WINDOWS\winexp.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\cSpiycN.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\JUFUlHk.exe','');
DeleteFile('%windir%\tasks\system.job');
QuarantineFile('C:\WINDOWS\winlogin.exe','');
DeleteFile('C:\WINDOWS\winlogin.exe');
DeleteFile('\\?\globalroot\systemroot\system32\cSpiycN.exe');
DeleteFile('\\?\globalroot\systemroot\system32\JUFUlHk.exe');
DeleteFile('C:\WINDOWS\winexp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winexp');
DeleteFile('C:\WINDOWS\taskmsgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 51
Вроде получше стало, но грузится все равно не так быстро как раньше. И на касперского и вирусинфо не заходит по прежнему.
Последний раз редактировалось keila; 21.05.2010 в 18:19.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\JUFUlHk.exe,\\?\globalroot\systemroot\system32\cSpiycN.exe,
O4 - HKLM\..\Run: [taskmsgr] "C:\WINDOWS\taskmsgr.exe"
Выполните скрипт в AVZ
Код:
begin
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте доступ к сайтам и сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Извиняюсь что долго не отвечал, не было доступа к зараженному компьютеру. Сделал заново пункты 1-3, и Combofix; после работы последнего сайты стали открываться. Посмотрите пожалуйста, может осталась еще бяка какая-нибудь.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\nnRYTCX.exe
c:\windows\system32\HgZFGvS.exe
c:\windows\system32\tile59s.exe
c:\windows\system32\NQOyloZ.exe
c:\windows\system32\hCv4dmw.exe
c:\windows\system32\AFhKOPq.exe
c:\windows\system32\7GNoq6E.exe
c:\windows\system32\iq0UKFC.exe
Driver::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"winlogin"=-
"taskmsgr"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Все провел как Вы сказали. Прикрепляю файл
-
Порядок
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите ComboFix
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Отправил на почту все что надо. Жду)
-
А что ждете?
Сказано ведь
Сообщение от
thyrex
Порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\taskmsgr.exe - Trojan-Downloader.Win32.Delf.abnv
- c:\windows\winexp.exe - Trojan-Clicker.Win32.Delf.dpl ( DrWEB: Trojan.Click1.6560, AVAST4: Win32:Malware-gen )
- c:\windows\winlogin.exe - Trojan-Downloader.Win32.Delf.abnu ( BitDefender: DeepScan:Generic.Malware.SFYBVg.50D038C0, AVAST4: Win32:Lapsavok [Drp] )
- \\?\globalroot\systemroot\system32\cspiycn.exe - Trojan.Win32.Scar.cgex ( DrWEB: Trojan.PWS.Ibank.39 )
- \\?\globalroot\systemroot\system32\jufulhk.exe - Trojan.Win32.Scar.cgdm ( DrWEB: Trojan.Packed.20385, AVAST4: Win32:Malware-gen )
-