Помогите NOD32 нашел этого червя. но не лечит, чем его можно вылечить. пробовал stinger- не помогает
Printable View
Помогите NOD32 нашел этого червя. но не лечит, чем его можно вылечить. пробовал stinger- не помогает
Попробуйте сделать логи по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL].
вот логи
1. Востановление системы отключить не забыли?
2. Обновите базы AVZ.
3. Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Messenger.dll','');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
4. После перезагрузки пришлите карантин согласно приложению 3 правил.
111
Messenger.dll - Backdoor.Win32.Agent.aqa
svchost.exe - Virus.Win32.AutoRun.dg
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\WINDOWS\system32\Messenger.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('SysSch');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.
Вот логи.
Однако силен этот messenger.dll, не удалился.
Выполните скрипт из безопасного режима:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Messenger.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте заново логи, начиная с п.10 правил.
я так понял всё равно есть. запустил после нод32 он пишет что сидит в памяти
[COLOR="Red"][B]не забудьте отключить нод и , teatimer, spyremover...они будут мешать лечению.[/B][/COLOR]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
TerminateProcessByName('Messenger.dll');
DeleteFile('C:\WINDOWS\system32\Messenger.dll');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
P.s. Выполните скрипт из безопасного режима на всякий случай, если не поможет.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\offline web pages\\svchost.exe - [B]Worm.Win32.AutoRun.rr[/B] (DrWEB: Win32.HLLW.Autoruner.239)[*] c:\\windows\\system32\\messenger.dll - [B]Backdoor.Win32.Agent.aqa[/B] (DrWEB: BackDoor.Bala)[*] c:\\windows\\temp\\startdrv.exe - [B]Backdoor.Win32.Agent.aqa[/B] (DrWEB: BackDoor.Bala)[/LIST][/LIST]