-
Junior Member
- Вес репутации
- 51
Помогите с вирусами(RootKit,wwwznv32 и возможно kido)
Помогите убрать с компа вирусы, у меня давно уже не открываются сайты антивирусов, ютуб и т.д. проверял прогой Cureit, нашел много вируслв, но проблема не решилаь, а сейчас НОД 32 нашел вирус wwwznv32, проверил Cureit , нашел какой то там RootKit. Логи кажется сделал правильно, если что то неправильно сори. Помогите плз =(
Последний раз редактировалось Faringit; 08.08.2010 в 22:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Просто раритет, скачайте новую АВЗ, обновите базы, переделайте логи.
-
-
Junior Member
- Вес репутации
- 51
У меня эта ссылка не открывается, можно другую?
P.S. Я пробовал обновить свой AVZ, но выскакивала ошибка.
-
Вот такая - avz4.zip
И ещё - avz4.zip
-
-
Junior Member
- Вес репутации
- 51
Вот сделал логи с последней версией проги, плз помогите убрать все вирусы.
Последний раз редактировалось Faringit; 08.08.2010 в 22:10.
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по yxbng и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\yxbng.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\yxbng.sys');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('yxbng');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
"Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы"
Это как? Просто у меня не все страницы открываются на этом сайте изза вируса.
Я не вижу никакой красной ссылки...
ААА все, перезашел и появилось
Последний раз редактировалось Faringit; 26.07.2010 в 11:53.
-
Junior Member
- Вес репутации
- 51
Карантин загрузил, вот все новые логи
Последний раз редактировалось Faringit; 08.08.2010 в 22:10.
-
Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\7rheopk.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\bldjad.exe','');
QuarantineFile('C:\WINDOWS\system32\gwxlrg.exe','');
QuarantineFile('C:\WINDOWS\system32\ad466cb4.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
DeleteService('Schedule');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\ad466cb4.exe');
DeleteFile('C:\WINDOWS\system32\gwxlrg.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\bldjad.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7rheopk.exe');
DeleteFile('C:\System Volume Information\_restore{1F45A59A-5061-4DA8-B1FF-508367DA5B51}\RP3\A0009161.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи в нормальном режиме
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
А какие именно файлы прикрепить? все 5 файлов из 3-ех программ + карантин?
-
Карантин не надо, логи как в первом сообщении + логи RSIT.
-
-
Junior Member
- Вес репутации
- 51
Ок ща сделаю все логи, но я уже вижу хорошее, NOD32 обновился =) и сайты антивирусов открываются теперь, Спасибо.
Но компьютер все еще немного тормозит, возможно какойто вирус еще остался.
Ща сделаю логи и отправлю сюда.
-
Junior Member
- Вес репутации
- 51
Вот сделал 2 лога с помощью AVZ, 1 с помощью HiJackThis и 1 с помощью RSIT.
У меня в AVZ при создании лога по стандартному скрипу 2, в окне проверки написалась строка
D:\Игры\Dragon Age\tools\FaceFX\FxStudio.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
В папке с однойц игрой. Не вирус ли это?
Последний раз редактировалось Faringit; 08.08.2010 в 22:10.
-
Профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\docume~1\9335~1\locals~1\temp\bldjad.exe,\\?\globalroot\systemroot\system32\7rheopk.exe,C:\WINDOWS\system32\ad466cb4.exe,C:\WINDOWS\system32\gwxlrg.exe,
O2 - BHO: Доступ к платному контенту FieryAds v2.0.1 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Эти строки пофиксил, есть что нибудь в логах еще плохое?
и как насчёт D:\Игры\Dragon Age\tools\FaceFX\FxStudio.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%) ?
-
Можно лог МБАМ сделать, чтобы мусор зачистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Можете дать ссылку где скачать?
-
-
-
Junior Member
- Вес репутации
- 51
Кто-нибудь из Хэлперов будет на форуме где-нить примерно в 21:00, 22:00...?
А то программа несколько часов будет проверят комп и я не хочу после проверки выключать компьютер, потому что уже нашлось 15 инфицированных объектов.
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-