Скачал сегодня avast и при первой же проверке он нашел win32:rootkit gen (rtk). Заражен файл explorer.exe, avast не лечит: возникает какая-то ошибка.
Printable View
Скачал сегодня avast и при первой же проверке он нашел win32:rootkit gen (rtk). Заражен файл explorer.exe, avast не лечит: возникает какая-то ошибка.
Уважаемый(ая) [B]Anthony_Clemenza[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.10.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41
[/QUOTE]
1. Базы не обновили
2. Логи сделаны устаревшей версией AVZ. Актуальная версия AVZ 4.43
[ATTACH]465995[/ATTACH][ATTACH]465996[/ATTACH]
1) [NOTICE]Протокол антивирусной утилиты AVZ версии 4.41
Актуальная версия AVZ 4.43 скачайте свежую версию и обновите базы.[/NOTICE]
2)
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('јщ.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('јщ.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
3) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
После выполнения первого скрипта не открывает explorer.exe,просто чёрный экран
Т.е. компьютер не грузится? На каком этапе загрузки происходит черный экран? Avast случайно не удалил Explorer.exe?
После "Добро пожаловать" должен быть рабочий стол, но стоиь черный экран. Было предупреждение что аваст переместил файл проводнтка в карантин. Через безопасный режим заходил проводник на месте
Антивирус на время выполнения скрипта отключали ?
[CODE]c:\windows\explorer.exe[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
Нет, совсем про него забыл... сейчас в безопасном режиме пытаться выполнить скрипт?
Восстановите файл explorer.exe из карантина Аваста. Файл можете не присылать он чистый. Это ложное срабатывание Аваста.
Удалил аваст в безопасном режиме, компьютер включился.
[CODE]c:\windows\explorer.exe[/CODE]
в любом случае обязательно пришлите в карантин.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ всё написанное в первом посте тоже сделайте, потому что вирусы у вас судя по логам были.
[ATTACH]466097[/ATTACH][ATTACH]466098[/ATTACH][ATTACH]466099[/ATTACH]
[CODE]D:\autorun.inf[/CODE] вам знаком?
[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)[/CODE]
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите [i]webalta[/i], нажмите "начать поиск", сохраните протокол и выложите в ответ. [b]НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!![/b].
[ATTACH]466503[/ATTACH]
[quote="regist;1099346"]D:\autorun.inf
вам знаком?[/quote]
не ответили ;).
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только
[CODE]Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\System32\hosts (Trojan.Agent) -> Действие не было предпринято.[/CODE]
Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите [i]webalta[/i], нажмите "начать поиск", сохраните протокол и выложите в ответ. [b]НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!![/b].
[QUOTE=regist;1100064]не ответили ;).
[U]ДА, это флэшка, использую как ReadyBoost[/U]
ок, остальное выполняйте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]