Printable View
помогаю товарищу чистить его комп, проблема такова - изначально был установлен др.веб , всё было просканено, удалено исцелено... но затем при попытке открыть любой диск др.веб тут же находит вирус, каторый вылечивает, но эта ситуация постоянно повторяется. при скане avz были обнаружены ещё вирусы... вобщем вот лог файлы, помогите плиз....
[url=http://virusinfo.info/showthread.php?t=4905]Отключите восстановление системы[/url].
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=15133[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]
дико извеняюсь за невыключенное восстановление системы, пришлось повторить скрипт и повторно выслать карантин
Из интересующих добрался в карантине только C:\WINDOWS\system32\amvo0.dll . По результатам проверки на virustotal.com : [code]
AntiVir 7.6.0.40 2007.12.12 TR/Crypt.NSPM.Gen
eSafe 7.0.15.0 2007.12.11 suspicious Trojan/Worm
McAfee 5183 2007.12.11 PWS-LegMir.dll
Microsoft 1.3007 2007.12.12 VirTool:Win32/Obfuscator!Mal
Panda 9.0.0.4 2007.12.12 Suspicious file
Prevx1 V2 2007.12.12 Malware.Gen
Sophos 4.24.0 2007.12.12 Troj/Lineag-Gen
Webwasher-Gateway 6.6.2 2007.12.12 Trojan.Crypt.NSPM[/code] Поэтому, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\nideiect.com');
DeleteFile('D:\nideiect.com');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ, если будет не пустой, и повторите логи. В дополнение: почти наверняка заражены съемные носители. Отключите автозапуск ( в этой теме - [url]http://virusinfo.info/showthread.php?t=14929[/url] - дана ссылка на утилиту, позволяющую сделать это автоматически, не правя руками реестр) и выполните рекомендации, данные здесь: [url]http://virusinfo.info/showthread.php?t=8877[/url] . В дополнение, ищите в корне дисков, если найдете - удаляйте файл nideiect.com . И еще: по названию судя, зверь, живший у вас, воровал пароли. Меняйте ВСЕ пароли на данной машине.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.Nilage.bvl[/B] (DrWEB: Win32.HLLW.Autoruner.1020)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.kow[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.Nilage.bvl[/B] (DrWEB: Win32.HLLW.Autoruner.1020)[/LIST][/LIST]