Помогите с вирусом :unsure:
Printable View
Помогите с вирусом :unsure:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Этот зловред скорее всего попал с помощью автозапуска.
Рекомендуется отключить автозагрузку:
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.[/CODE]
После чего, проверить антивирусом свои флешки и другие съёмные носители.
Карантин закачал. После окончании проверки флешек, антивирус (Symantec) виснет. Нашел только на одной флешке.
Так же заметил, что нельзя поставить в свойствах папки "Показывать скрытые файлы и папки"
Выполните этот скрипт:
[code]
begin
DeleteFile('C:\n1deiect.com');
DeleteFile('D:\n1deiect.com');
DeleteFile('E:\n1deiect.com');
DeleteFile('G:\n1deiect.com');
ExecuteRepair(8);
end.
[/code]
Сделайте логи снова.
Теперь на диски заходит только через проводник :xmas:
Еще вопрос, как можно избежать заражение этим вирусом? Довольно часто видел его у других. Антивирус у меня все время включен и постоянно обновлен.
Плохо. Файлы еще на месте
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\n1deiect.com');
DeleteFile('D:\n1deiect.com');
DeleteFile('E:\n1deiect.com');
DeleteFile('G:\n1deiect.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_DeleteSvc('wincab');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Я уже написал, что скорее всего заражение произошло через автозапуск
съёмного носителя. Если выполнить скрипт отключения автозапуска, то в дальнейшем можно избежать многих проблем.
На диски заходит нормально, антивирус не виснет. Но показывать скрытые файлы и папки все еще отказывается.
На флешку заходит только через проводник
выполните скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
Да, теперь вроде все. Спасибо :)
Скрытые папки и файлы показывает. А на флешке нашел вирус. Теперь нормально заходит.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[*] c:\\n1deiect.com - [B]Trojan-PWS.Win32.Nilage.bvu[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-PWS.Win32.Nilage.bvu[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.kuo[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.WOW.agx[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[*] g:\\autorun.inf - [B]Worm.Win32.AutoRun.asb[/B] (DrWEB: Win32.HLLW.Autoruner.1019)[/LIST][/LIST]