Кажется что AVZ удалил braviax.exe, логи прилагаются.
Нужно ли ещё что-то делать?
Printable View
Кажется что AVZ удалил braviax.exe, логи прилагаются.
Нужно ли ещё что-то делать?
Обновите базы АВЗ.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svchost.exe');
TerminateProcessByName('c:\windows\csrss.exe');
QuarantineFile('winszd32.dll','');
QuarantineFile('cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\winszd32.dll','');
QuarantineFile('c:\windows\svchost.exe','');
QuarantineFile('c:\windows\peernet\iexplore.exe','');
QuarantineFile('c:\windows\csrss.exe','');
DeleteFile('c:\windows\csrss.exe');
DeleteFile('c:\windows\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19551[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -[/CODE]
АВЗ самостоятельно удалила [b]Trojan-PSW.Win32.LdPinch.bjx [/b], так что смена всех паролей ОБЯЗАТЕЛЬНА.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[b]Packed.Win32.PolyCrypt.d[/b], [b]Trojan-Spy.Win32.Agent.qc[/b], [b]Spy.WildTangent[/b], [b]AdvWare.Win32.MyWebSearch[/b], [b]AdvWare.ToolBar.MyWebSearch [/b], [b]Trojan-Downloader.Win32.Mediket.du[/b], в общем много чено удалила АВЗ самостоятельно. Не заметил фаервол стоит какой-то или нет. Отключите восстановление системы, там всё это добро лежит законсервированным и ждёт своего зловещего часа.
Кстати [quote]Сканирование запущено в 3/11/2008 1:30:10 PM[/quote]
это сбой системного времени или как?
В HijackThis не нашел таких строк где начало - O4
Сбоя системного времени нету, режим времени - AM/PM.
А каким образом отключать восстановление системы?
Результаты карантина выложу после проверки.
Правила приложение 1 - как отключить восстановление почитайте.
Карантин присылается
[quote]Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19551[/url][/quote]
Уберите ссылку из темы и загрузите согласно приложению 3 правил.
Спасибо за понимание.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\mywebsearch\\bar\\1.bin\\mwsbar.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.ba[/B] (DrWEB: Adware.MWS)[*] c:\\windows\\csrss.exe - [B]Trojan-PSW.Win32.LdPinch.rnu[/B] (DrWEB: Trojan.PWS.LDPinch.3185)[*] c:\\windows\\svchost.exe - [B]Trojan-PSW.Win32.LdPinch.atw[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\braviax.exe - [B]Trojan-Dropper.Win32.Agent.fum[/B] (DrWEB: Trojan.Packed.383)[*] c:\\windows\\system32\\cru629.dat - [B]Backdoor.Win32.Small.cyb[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\drivers\\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] (DrWEB: Trojan.Fakealert.458)[*] c:\\windows\\system32\\winszd32.dll - [B]Trojan.Win32.Dialer.yz[/B] (DrWEB: Trojan.Mezzia.91)[/LIST][/LIST]