Printable View
Здравствуйте.. Я только 4то поймал вирус - баннер.. Удалить его полу4илось собственными силами. (он "сидел" тут -> [B]C:\Documents and Settings\Admin\[/B] файл - [B]0.18319078674185885.exe[/B])
P.S. Этот файл в безопастном режиме кинул в корзину.. захожу 4ерез обы4ный режим - баннера нет.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\program files\internet explorer\instal.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\yUN844y.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\f7zOH3q.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\NHLZoXU.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ELFMsc4.exe','');
QuarantineFile('C:\WINDOWS\system32\xlfywo*.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rakmdb*.exe','');
QuarantineFile('C:\WINDOWS\system32\nodtsjt.exe','');
QuarantineFile('C:\WINDOWS\system32\nnuims.exe','');
QuarantineFile('C:\WINDOWS\system32\nkvqhz*.exe','');
QuarantineFile('C:\WINDOWS\system32\lnrzygu.exe','');
QuarantineFile('C:\WINDOWS\system32\gtmoys*.exe','');
QuarantineFile('C:\WINDOWS\system32\gexaicf.exe','');
QuarantineFile('C:\WINDOWS\system32\dsbrem.exe','');
QuarantineFile('C:\WINDOWS\system32\czgchnq.exe','');
QuarantineFile('C:\WINDOWS\system32\9cbf7644.exe','');
QuarantineFile('C:\WINDOWS\system32\862154d.exe','');
QuarantineFile('C:\WINDOWS\system32\83bbf3e2.exe','');
QuarantineFile('C:\WINDOWS\system32\439cdf09.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\M4O76T0V\calc[1].exe','');
DeleteFile('c:\program files\internet explorer\instal.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\M4O76T0V\calc[1].exe');
DeleteFile('C:\WINDOWS\system32\439cdf09.exe');
DeleteFile('C:\WINDOWS\system32\83bbf3e2.exe');
DeleteFile('C:\WINDOWS\system32\862154d.exe');
DeleteFile('C:\WINDOWS\system32\9cbf7644.exe');
DeleteFile('C:\WINDOWS\system32\czgchnq.exe');
DeleteFile('C:\WINDOWS\system32\dsbrem.exe');
DeleteFile('C:\WINDOWS\system32\gexaicf.exe');
DeleteFileMask('C:\WINDOWS\system32', 'gtmoys*.exe', true);
DeleteFile('C:\WINDOWS\system32\jfekql.exe');
DeleteFile('C:\WINDOWS\system32\lnrzygu.exe');
DeleteFileMask('C:\WINDOWS\system32', 'nkvqhz*.exe', true);
DeleteFile('C:\WINDOWS\system32\nnuims.exe');
DeleteFile('C:\WINDOWS\system32\nodtsjt.exe');
DeleteFileMask('C:\WINDOWS\system32', 'rakmdb*.exe', true);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFileMask('C:\WINDOWS\system32', 'xlfywo*.exe', true);
DeleteFile('\\?\globalroot\systemroot\system32\ELFMsc4.exe');
DeleteFile('\\?\globalroot\systemroot\system32\NHLZoXU.exe');
DeleteFile('\\?\globalroot\systemroot\system32\f7zOH3q.exe');
DeleteFile('\\?\globalroot\systemroot\system32\yUN844y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
[B][COLOR="#FF0000"]Смените все пароли[/COLOR][/B].
Файл [B]0.18319078674185885.exe[/B] запакуйте в архив с паролем [B]virus[/B] и пришлите так же, как и карантин.
Логи...
Можете сказать, 4то этот файл тут делает? (см. скриншот)
Сам файл так же прилагаю..
4ерез некоторое время после загрузки сисмемы отрубается инет и локалка(см [B]1112.jpg[/B])..
Так же меняется тема винды(обы4ная моя тема - [B]1114.jpg[/B] - меняется на [B]1113.jpg[/B])
Вирус отрубил некоторые драйверы, 4то видно на скринах [B]1116.JPG[/B] и [B]1115.JPG[/B]..
При попытке воспроизведения музыки, например, в ulead videostudio вылетает ошибка ([B]1119.JPG[/B])
При попытке переустановки драйверов также вылетает ошибка ([B]1120.JPG[/B])
[quote="choky;809817"]Можете сказать, 4то этот файл тут делает? (см. скриншот)[/quote]
Файл безопасный, но лежит не на своем месте. Можно удалить. Только убедитесь,что он есть в system32.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote="choky;809864"]4ерез некоторое время после загрузки сисмемы отрубается инет и локалка[/quote]
Установите все доступные обновления безопасности на Windows.
[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]
Проверьте наличие файла \Windows\system32\sfcfiles.dll.
Файл userinit.exe удалил.
Обновления ска4иваются..
Файла [B]\Windows\system32\sfcfiles.dll[/B] не было :( Скачал, кинул в папку.. теперь винда грузится намного быстрее...
Но ошибка при установке драйвера осталась :(
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
[QUOTE=Bratez;809908]
Установите все доступные обновления безопасности на Windows.
[/QUOTE]
Обновления скачались.. но они не ставятся... пишет: "Отказано в доступе" (в безопастном режиме так же)
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Над проблемой возился целый день.. надоело.. снес винду и заново поставил..
Тему можно закрыть..
P.S. обновления безопасности поставил с помощью одной классной бесплатной программки ([U]advanced system care 4[/U]), но они не помогли.. проблема оставалась :(
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]