Помогите избавиться от вирусов. Появляются при каждой загрузке.
Printable View
Помогите избавиться от вирусов. Появляются при каждой загрузке.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\winnt\system32\cssrss.exe');
TerminateProcessByName('c:\docume~1\averja~1\locals~1\temp\winlogon.exe');
TerminateProcessByName('c:\winnt\mmhren1.exe');
QuarantineFile('C:\WINNT\ieupdr.exe','');
QuarantineFile('C:\RECYCLED\Dc2.exe','');
QuarantineFile('C:\Documents and Settings\Averjanova\ie_updates3r.exe','');
QuarantineFile('c:\winnt\system32\service.exe','');
QuarantineFile('c:\docume~1\averja~1\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\winnt\mmhren1.exe','');
QuarantineFile('c:\winnt\system32\cssrss.exe','');
DeleteFile('c:\winnt\system32\cssrss.exe');
DeleteFile('C:\WINNT\system32\service.exe');
DeleteFile('c:\winnt\mmhren1.exe');
DeleteFile('c:\docume~1\averja~1\locals~1\temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19718[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F3 - REG:win.ini: run=C:\WINNT\mmhren1.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\AVERJA~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [Microsoft hren1] C:\WINNT\mmhren1.exe [/CODE]
Спасибо, помогли!
Карантин выслал.
mmhren1.exe - [b]Trojan-Downloader.Win32.Agent.iww[/b], temp\winlogon.exe - [b]Trojan.Win32.Agent.fdn[/b], ie_updates3r.exe, Dc2.exe, ieupdr.exe - [b]Trojan-Downloader.Win32.Tiny.aie[/b], system32\cssrss.exe - [b]Trojan-Downloader.Win32.Agent.isd[/b], system32\service.exe - [b]Trojan-Proxy.Win32.Agent.zg[/b].
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\winnt\system32\cssrss.exe');
TerminateProcessByName('c:\docume~1\averja~1\locals~1\temp\winlogon.exe');
TerminateProcessByName('c:\winnt\mmhren1.exe');
DeleteFile('C:\Documents and Settings\Averjanova\ie_updates3r.exe');
DeleteFile('C:\WINNT\ieupdr.exe');
DeleteFile('C:\RECYCLED\Dc2.exe');
DeleteFile('c:\winnt\system32\cssrss.exe');
DeleteFile('C:\WINNT\system32\service.exe');
DeleteFile('c:\winnt\mmhren1.exe');
DeleteFile('c:\docume~1\averja~1\locals~1\temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи...
Запустил приведенный вами скрипт в безопасном режиме. В нормальном режиме скрипт не мог перезагрузить машину и процесс завершения работы просто зависал.
Файлы проверки прикладываю.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\mmhren1.exe','');
BC_DeleteSvc('service.sys');
QuarantineFile('C:\WINNT\system32\service.sys','');
BC_DeleteSvc('Microsoft P2S Service');
QuarantineFile('C:\WINNT\system32\_svchost.exe','');
DeleteFile('C:\WINNT\system32\_svchost.exe');
DeleteFile('C:\WINNT\system32\service.sys');
DeleteFile('C:\WINNT\mmhren1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\averjanova\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Tiny.aie[/B] (DrWEB: Trojan.DownLoader.54395)[*] c:\\docume~1\\averja~1\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.fdn[/B] (DrWEB: Trojan.Packed.573)[*] c:\\recycled\\dc2.exe - [B]Trojan-Downloader.Win32.Tiny.aie[/B] (DrWEB: Trojan.DownLoader.54395)[*] c:\\winnt\\ieupdr.exe - [B]Trojan-Downloader.Win32.Tiny.aie[/B] (DrWEB: Trojan.DownLoader.54395)[*] c:\\winnt\\mmhren1.exe - [B]Trojan-Downloader.Win32.Agent.iww[/B] (DrWEB: Trojan.Spambot.2906)[*] c:\\winnt\\system32\\cssrss.exe - [B]Trojan-Downloader.Win32.Agent.isd[/B] (DrWEB: Trojan.DownLoader.46357)[*] c:\\winnt\\system32\\service.exe - [B]Trojan-Proxy.Win32.Agent.zg[/B] (DrWEB: Trojan.MulDrop.16013)[/LIST][/LIST]