Проверьте, пожалуйста =)

Printable View

30.03.2011, 16:40
Fer(Z)

Проверьте, пожалуйста =)

Вобщем ситуация как в теме [URL]http://virusinfo.info/showthread.php?t=13643[/URL] [B]Вирус создает 1.tmp, 2.tmp и т.д.[/B] , выполнил скрипты, процессы ушли, но ощущение общей затупленности осталось, проверьте пожалуйста, может еще какая-нибудь гадость есть.
30.03.2011, 18:42
Nikkollo

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\sfc_os.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\download2\svcnost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\2086212.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\download2\svcnost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','download');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
SaveLog('sfcfiles.log');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл sfcfiles.log из папки AVZ приложите в теме.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Выполните эту процедуру и загрузите там получившийся файл:
[url]http://virusinfo.info/showthread.php?t=3519[/url]
Информацию о загрузке приложите здесь.
30.03.2011, 20:50
Fer(Z)

Шеф, усе готово =)
Файл сохранён как 110330_162433_virusinfo_files_---SERVER---_4d9359419de7e.zip
Размер файла 27919490
MD5 1a6d7eb2619f2a8596baefc141b29c5f
30.03.2011, 22:05
Nikkollo

Компьютер поражен файловым вирусом Virus.Win32.Expiro.w.
Скачайте этот файл:
[url]http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159[/url]
И распакуйте его в папку C:\WINDOWS\system32\, заменив имеющийся.
Затем скачайте AVPTool:
[url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
И просканируйте им все диски, включая флешки.

Затем перезагрузите компьютер, деинсталлируйте AVPTool. Повторите лог virusinfo_syscheck.zip и приложите в теме.
31.03.2011, 22:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\download2\\svcnost.exe - [B]Backdoor.Win32.Spammy.gt[/B] ( DrWEB: Trojan.DownLoader1.42415, BitDefender: Gen:Trojan.Heur.KS.4, AVAST4: Win32:Crypt-HTD [Trj] )[*] c:\\windows\\system32\\cpldapu\\produkey.exe - [B]not-a-virus:PSWTool.Win32.ProductKey.aj[/B] ( DrWEB: Tool.PassSteel.645 )[*] c:\\windows\\system32\\sfcfiles.dll - [B]Trojan.Win32.Patched.lq[/B] ( DrWEB: Trojan.WinSpy.966, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Parchood [Trj] )[/LIST][/LIST]