На всех дисках в корне находиться этот файл. При удалении он появляется снова через пару секунд.
Printable View
На всех дисках в корне находиться этот файл. При удалении он появляется снова через пару секунд.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfas', 4);
StopService('zxsderfbukjfyshlhdfrstdzhdfas');
QuarantineFile('C:\Winlirc\irex.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\x.com','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PRODIGY.SYS','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfas.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\portpro.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfas.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\x.com');
DeleteFile('D:\x.com');
DeleteFile('E:\x.com');
DeleteFile('I:\x.com');
DeleteFile('K:\x.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('I:\autorun.inf');
DeleteFile('K:\autorun.inf');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfas');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17665[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe [/CODE]
Повторите логи
А как вы файлы прочитали если 0 скачек? Или для хелперов оно не учитывает?
Winlirc\winlirc.exe это дистанционное управление через ик порт.
x.com у меня на всех дисках. Добавить строки в скрипт?
DeleteFile('D:\x.com');
DeleteFile('E:\x.com');
DeleteFile('I:\x.com');
DeleteFile('K:\x.com');
Смысла нет я уже добавил в скрипт:)
Ну сначала не было :)
Согласен не было, потом прочитал и поправил:)
Карантин на месте 080206_162756_virus_47aa346c1b1a1.zip
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
страно но строки O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe нету в HijackThis
Нет это хорошо...
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\amvo.exe - [b]Trojan-PSW.Win32.OnLineGames.qso [/b]
C:\x.com - [b]Trojan-PSW.Win32.OnLineGames.qso [/b]
C:\WINDOWS\system32\amvo.exe - [b]Trojan-PSW.Win32.OnLineGames.qso [/b]
C:\WINDOWS\system32\amvo0.dll - [b]Trojan-PSW.Win32.OnLineGames.qso[/b]
Если есть он-лайн игры меняйте пароли
что мне делать теперь удалить все в карантине?
в игры неиграю темболее онлайн.
Сделайте новые логи, посмотрим, не осталось ли чего.
Новые логи
Логи чистые.