-
Junior Member
- Вес репутации
- 51
AdvWare whenU.r Что делать
Доброго времени суток!Проблема следущего плана!Каспер начал блокировать запуск программ примерно стакими именами 108.EXE, 501.EXE итд. в папке System volume iformation,я их удолил после перезагрузки системы они появились вновь.Просканировал AVZ обнаружил Generic и еще какую-то заразу.Отфарматировал диск ц и переустановил систему,на диске Д появились папки System volume iformation,RECYCLER,runauto...,удолить их невозможно,сообщение нет доступа!Утилита AVZ нашла AdvWare whenU.r .
Что в можно сделать?Полностью фарматировать винт не хочется.
Последний раз редактировалось CapitanNemo; 30.05.2010 в 15:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JJQZ3XFN\63[1].exe','');
QuarantineFile('C:\WINDOWS\regedit.exe','');
QuarantineFile('C:\Temp\Dat7.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2247018671-1536602159-601657448-1494\syscr.exe','');
QuarantineFile('c:\windows\wndrive32.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2247018671-1536602159-601657448-1494\syscr.exe');
DeleteFile('C:\Temp\Dat7.tmp');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JJQZ3XFN\63[1].exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил.Просканировал MBAMом.Вобщем все как вы советовали.
Вот логи и карантин.
Последний раз редактировалось AndreyKa; 14.06.2010 в 13:23.
Причина: убрал карантин
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lqmhf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lqmhf\Parameters');
QuarantineFile(RegKeyStrParamRead('HKLM','SYSTEM\CurrentControlSet\Services\lqmhf\Parameters','ServiceDll'),'');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lqmhf');
QuarantineFile('C:\Temp\uninstall.exe','');
QuarantineFile('C:\Program Files\advantage\AdVUninst.exe','');
QuarantineFile('C:\Temp\463.exe','');
QuarantineFile('C:\Temp\464.exe','');
QuarantineFile('C:\Temp\533.exe','');
QuarantineFile('C:\Temp\611.exe','');
QuarantineFile('C:\Temp\634.exe','');
QuarantineFile('C:\Temp\930.exe','');
QuarantineFile('C:\Temp\998.exe','');
QuarantineFile('C:\Temp\000.exe','');
QuarantineFile('C:\Temp\025.exe','');
QuarantineFile('C:\Temp\106.exe','');
QuarantineFile('C:\Temp\165.exe','');
QuarantineFile('C:\Temp\167.exe','');
QuarantineFile('C:\Temp\184.exe','');
QuarantineFile('C:\Temp\322.exe','');
QuarantineFile('C:\Temp\365.exe','');
QuarantineFile('C:\Temp\388.exe','');
QuarantineFile('C:\Temp\785.exe','');
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Установите надежные пароли на учетные записи пользователей с правами администратора.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Доброго времени суток!Все операции проделал,логи прелогаю.
Заранее благодарен.
-
карантин не прислали, почему?
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил по ссылке вверху.сейчас отправлю еще раз!
Добавлено через 2 минуты
Пишет: Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Последний раз редактировалось CapitanNemo; 17.06.2010 в 23:12.
Причина: Добавлено
-
Не видно ничего подозрительного. Проблема решена?
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 51
Магарыч за мной!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-5154674792-8572759821-326183878-9573\syscr.exe - P2P-Worm.Win32.Palevo.amoh ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Backdoor.Generic.370701, AVAST4: Win32:VBMod [Trj] )
- c:\windows\system32\14.exe - P2P-Worm.Win32.Palevo.amoh ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Backdoor.Generic.370701, AVAST4: Win32:VBMod [Trj] )
-