Printable View
Инфицированный файлы:
C:\WINDOWS\system32\socksa.exe - модифицированный Win32/VB.EL червь
C:\WINDOWS\svchost.exe - модифицированный Win32/VB.EL червь
Антивирус - Nod32
Как ясно из описания вируса в интернете: пропадают все скрытые файлы и включить их невозможно через свойства папки. Так же жесткие диски с моего компютера запускаются с автозапуском и видимо клонируют все что было удалено антивирем.
Заранее благодарю за помощь :)
Базы AVZ не обновили. (пунк 4 Правил)
Утилитой CureIt компьютер не проверяли? А надо было бы. [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url]
Логи надо было делать не в [B]Режиме защиты от сбоев[/B] (safemode), а в [B]нормальном[/B].
Повторите, пожалуйста, логи AVZ в обычном режиме (не в safe mode) Если создание логов в обычном режиме по каким-то причинам невозможно, сделайте дополнительные логи, о которых написано здесь - [url]http://virusinfo.info/showthread.php?t=10387[/url]
Спасибо, в следующий раз учту :)
Вирус был вылечен cureit, и удален bat файликом следующего содержания:
[QUOTE]@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg Delete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.* fun.xls.exe /f /q /as
del g:\autorun.* fun.xls.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
start explorer.exe[/QUOTE]
Странный народ. Раздел называется "Помогите", а лечатся руками.
Думаю не до конца. :(
Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать :(
P.S. Зачем думать не до конца ? :)
[QUOTE=xvras;129656]Вроде нормальная ситуация. Люди в панике приходят сюда, читают фак(или не читают), не замечая подробностей и в результате долго тупят. CureIt вот оказалось надо не в экспресс режиме запускать :(
P.S. Зачем думать не до конца ? :)[/QUOTE]
Думаю не до конца вылечиваются. Сорри, что не дописал.