Здравствуйте, на днях поймал, на мой взляд, редкого "зверька". Сколько не пытайся удалить файл-вирус он все равно установится (подозрение на установочник в самом ПК)
Printable View
Здравствуйте, на днях поймал, на мой взляд, редкого "зверька". Сколько не пытайся удалить файл-вирус он все равно установится (подозрение на установочник в самом ПК)
Уважаемый(ая) [B]wasvight[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\yad\system.exe','');
QuarantineFile('C:\Windows\system32\ram\Ram.exe','');
QuarantineFile('C:\Windows\i387\Rmdec.exe','');
QuarantineFile('C:\Users\Dimon4ik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rmdec.exe','');
QuarantineFile('C:\Users\Dimon4ik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ram.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
DeleteFile('C:\Users\Dimon4ik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ram.exe');
DeleteFile('C:\Users\Dimon4ik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rmdec.exe');
DeleteFile('C:\Windows\i387\Rmdec.exe');
DeleteFile('C:\Windows\system32\ram\Ram.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Updat');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Updat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policiec');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policiec');
DeleteFile('C:\Program Files\yad\system.exe');
DelCLSID('{V2BI4SCD-4P77-2658-631R-X26ME6F3Q4N0}');
DelCLSID('{IVSN51G6-K445-182M-IW35-515GC1YND78I}');
DelCLSID('{78B4PK38-J3YN-66H7-W8JU-K1TH6G6E7I16}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Благодаря вам удалились доставучие файлы
P.S. Карантин, после проверки, оказался пустым (скорее всего результат моих действий). А так же выдает ошибку при его загрузке (такой файл уже загружен).
Загрузите virusinfo_autoquarantine.zip из папки AVZ\LOG по красной ссылке в шапке этой темы "Прислать запрошенный карантин".
(если файл там есть).
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/CODE]
Выполните скрипт в AVZ отсюда, скопировав там весь текст [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Пофиксил. Лог ниже. Карантин отправил
Так же устранил уязвимости (скрипт не нашел уязвимостей)
На всякий случай смените все пароли (хотя бы самые важные).
Если проблем больше нет, то можно заканчивать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\dimon4ik\\appdata\\roaming\\microsoft\\windows\\start menu\\programs\\startup\\ram.exe - [B]Trojan.Win32.Agentb.aazg[/B] ( BitDefender: Trojan.Generic.9289330, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\ram\\ram.exe - [B]Trojan.Win32.Agentb.aazg[/B] ( BitDefender: Trojan.Generic.9289330, AVAST4: Win32:Malware-gen )[/LIST][/LIST]