amvo

Printable View

09.02.2008, 01:30
yane

Вложений: 3

amvo

При каждой загрузке антивирус определяет вирус: C:\WINDOWS\system32\amvo0.dll
тип вируса: Win32:Onlinegames-CAZ [Trj]
Полное сканирование системы не помогает.
Кроме того, процесс amvo.exe прописывается в автозагрузку.
09.02.2008, 01:43
akok

Перед выполнением скрипта отключите антивирус
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- На;ать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O2 - BHO: (no name) - {AE40EBA0-2D49-48C9-BA8D-E9F046240F5F} - (no file)
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe [/CODE]

ConnectionServices.dll - деинсталировать это адваре

Повторите логи
09.02.2008, 15:00
yane

Вложений: 3

Спасибо!
Все сделал, как вы просили.

в HijackThis не было строки:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

повторяю логи
09.02.2008, 15:30
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\188qsm.bat','');
DeleteFile('C:\188qsm.bat');
DeleteFile('F:\188qsm.bat');
DeleteFile('G:\188qsm.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
09.02.2008, 17:14
yane

Готово.
09.02.2008, 17:18
Bratez

188qsm.bat - [b]Trojan-PSW.Win32.OnLineGames.qpu[/b] (удален).

Какие-то проблемы остались?
09.02.2008, 17:46
yane

[quote=Bratez;185428]Какие-то проблемы остались?[/quote]
Кажется, нет.
Спасибо вам огромное!
22.02.2009, 03:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\188qsm.bat - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Trojan.MulDrop.6474)[*] f:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[*] g:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[/LIST][/LIST]