-
У меня появился вирус
[B][I][COLOR=black][FONT="]У меня [/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]появился вирус Win32.HLLW.Autoruner.437 [/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]Dr[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="].[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]web[/FONT][/COLOR][/I][/B][B][I][COLOR=black][/COLOR][/I][/B][B][I][COLOR=black][FONT="]его детектит но не может удалить. Вручную удалить тоже не получилось[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="].[/FONT][/COLOR][/I][/B]
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo0.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите весь карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.
-
Загрузила карантин. Базы почему то обновить не удается ни с одного адреса не доступны Высылаю новые логи
-
[QUOTE=letinna;159594]Высылаю новые логи[/QUOTE]
Куда? Это карантин надо прислать, а логи прикрепить в тему, как в первом сообщении.
-
Вложений: 3
ПОчему то не приаттачились с первого раза :( . Пришлось снести те которые загружала ранее. Вот
-
В карантине:
[b]Trojan-PSW.Win32.OnLineGames.kan
Virus.Win32.AutoRun.akr
Packed.Win32.NSAnti.r[/b]
а в логах все по прежнему!
1. Отключите восстановление системы!
2. Выполните такой скрипт [b]в безопасном режиме[/b]:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\ntde1ect.com','');
QuarantineFile('C:\nideiect.com','');
DeleteFile('C:\nideiect.com');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
3. После перезагрузки пришлите новый карантин по правилам.
4. Попробуйте теперь обновить базы AVZ.
5. Сделайте логи еще раз.
-
Если играете в онлайн игры, то смените по окончании лечения пароли
-
Вложений: 3
Карантин выслала, а обновить так и не удается, логи сделала.
-
C:\ntde1ect.com - [b]Packed.Win32.NSAnti.r[/b]
C:\nideiect.com - [b]Trojan-PSW.Win32.OnLineGames.kan[/b]
Вот теперь в логах все чисто.
Для устранения возможных последствий выполните скрипт:
[code]
begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
-
Вложений: 3
[FONT="]У меня остались симптомы вируса: при набирании теска могут открыться какие нибудь окна, или появится лишнее буквы, или вообще ничего не печатает. Приложу новые логи[/FONT]
-
возможно у вас проблемы с клавиатурой ...
-
[B][I][COLOR=black][FONT="]До недавнего времени с клавиатурой все было [/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]нормально[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="], переставила драйвер, не помогло[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="].[/FONT][/COLOR][/I][/B]
[B][I][COLOR=black][FONT="]З[/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]заполнения формы логина / пароля на веб страницах начинают вылезать [/FONT][/COLOR][/I][/B][B][I][COLOR=black][FONT="]не понятные совершенно окна.[/FONT][/COLOR][/I][/B]
[B][I][COLOR=black][FONT="]Еще я забыла в прошлый раз написать, что я выполнила скрипт и что из служб нужна только загрузка с сд и служба терминалов[/FONT][/COLOR][/I][/B]
-
Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Если есть локалка с использованием общего доступа к файлами принтерам, уберите из скрипта первую строчку после begin.
На клавиатуру драйвер переставлять смысла нет, просто попробуйте подключить другую и поработать.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.aox[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\nideiect.com - [B]Trojan-GameThief.Win32.OnLineGames.kan[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\ntde1ect.com - [B]Packed.Win32.NSAnti.r[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.kan[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo1.dll - [B]Worm.Win32.AutoRun.nr[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\avpo.exe - [B]Packed.Win32.NSAnti.r[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\windows\\system32\\avpo0.dll - [B]Packed.Win32.NSAnti.r[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.aox[/B] (DrWEB: Win32.HLLW.Autoruner.437)[/LIST][/LIST]
Page generated in 0.01578 seconds with 10 queries