Мгновенно на флешку все лезет... Фуф... Помогите... Еле выдрали его у бухгалтерии...
Printable View
Мгновенно на флешку все лезет... Фуф... Помогите... Еле выдрали его у бухгалтерии...
1.Как обычно, скрипт выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tmwsock.dll','');
QuarantineFile('tuvwusr.dll','');
QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs','');
BC_DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Добавить в карантинвсе autorun.inf и загрузить через ссылку.
2.Скачать, принести с другого WinSockXPFix. Пока не запускать.
З.Ы Темы немножко по разному называйте, чтобы отличать компьютеры.
скрипт выполнен.
карантин отправлен.
WinSockXPFix скачан
Все autorun.inf удаляем. Может пропасть доступ к дискам. В "Чаво" смотреть совет Bratez на эту тему.
В защищенном режиме выполнить скрипт:
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tmwsock.dll','');
QuarantineFile('tuvwusr.dll','');
end.[/CODE]
если что-то попадется, кроме ini-файлов прислать.
MS32DLL.dll.vbs - [B]Worm.VBS.Solow.a[/B]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.*');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('D:\autorun.*');
DeleteFile('F:\autorun.*');
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
(если из D или F является CD/DVD приводом -
удалите строку с его упоминанием из скрипта).
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O20 - Winlogon Notify: awtqq - C:\WINDOWS\
O20 - Winlogon Notify: ddcyy - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: tuvwusr - tuvwusr.dll (file missing)
[/code]
Если возникнут проблемы с открытием дисков
через "Мой компьютер", читайте [URL="http://virusinfo.info/showthread.php?t=8877"]здесь[/URL].
Все сделала... Но аваст все равно верещит, что нашел MS32DLL.dll.vbs (
Где он его находит? м.б. в карантине АВЗ. :)
ой, может быть... щас посмотрю... *у меня уже крыша едет 5 часов этот комп мучить при постоянных звонках бухгалтерии с требованиями вернуть его*
нее, показывает:
имя файла C:\MS32DLL.dll.vbs
имя вируса VBS:Solow
тип вируса Вирус/Червь
Выполните скрипт в AVZ
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\MS32DLL.dll.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
и повторите логи.
Зы.думаю аваст ругаться перестанет ;)
Сразу не отдавайте, перед этим поставить ограниченного пользователя в виндоус;) Поменять пароль на админа.И фаэрвокс с noscript поставить, а эксплореру запретить выход в интернет в фаэрволе ;)
файерфокс - обязательно! всем ставим... вообще хотелось бы отключить этот комп от инета, не нужен он сто лет бухгалтеру детской библиотеки... он ей нужен - платежки печатать...
Автораны пооставались на C: и D:, хотя сам вирус видимо удален.
И про ошибки в LSP как-то все позабыли...
Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.*');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('D:\autorun.*');
DeleteFile('C:\Documents and Settings\Администратор.PC-012\DoctorWeb\Quarantine\*.*');
AutoFixSPI;
RebootWindows(true);
end.[/code]
И придется логи еще разок повторить, чтобы сомнений не было.
Вам нужно будет аккуратно проверить съемные носители, которые пользовали на этом компьютере, и удалить с них autorun.* и MS32DLL.dll.vbs. Как это следует делать, написано в [URL="http://virusinfo.info/showthread.php?t=8877"]этой статье[/URL].
Автораны удалили по статье.
Выполнили скрипт, комп ушёл в перезагруз, до сих пор не загрузился >:(:?:'-(
В безопасном тоже. Сижу и смотрю на окошко "Пожалуйста подождите..., загрузка Windows.
Стоп - дождались (5-10 минут), ввели пользователя , смотрим на черный экран. - 5 минут. Появилось... Не не совсем... Нижний панели нет - > не выдвигается никак...
Хмм... Вот это номер!
А есть возможность хотя бы в безопасном запустить AVZ?
Ну да .. через диспетчер задач
Тогда запустите AVZ и выполните такой скрипт:
[code]
begin
Delspibyfilename('tmwsock.dll',true);
Autofixspi;
Rebootwindows(true);
end.[/code]
Если не поможет, будем думать дальше.
Правда у меня уже 2-й час ночи ;)...
5 минут смотрю а окошко входа виндоус.
Винт вяло помаргивает.
Вообще этому компу интернет нафиг не нужен, этому компу всего лишь нужно было чтобы работала бухгалтерские проги Ексель и Парус. Парус клиент должен всего лишь соединятся с сервером. Бухгалтерия меня сьест. (Весь день ждали комп, чтобы распечатать ведомости о зарплатах, то есть бить будут все) ...
Так .. гружу безопастный режим. 4 минуты уже...
Безопастный режим загрузился - все также , без панели