kavo

Помогите пожалуста с лечением

Обновите базы AVZ и повторите логи....тогда снесем все одним ударом

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F3 - REG:win.ini: run=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe[/CODE]

Искал, но не нашел где скачать и как поставить обновления для AVZ?
Да и еще одно, заранее, этим же заражены еще примерно 50 офисных машин, можно ли их всех будет лечить одинаково?

АВЗ Файл--обновление баз

Все зависит от заразы и конфигурации машин.....только на свой страх и риск, но AVZ можно переносить на флешке :)

а зараженных, инета нет
ЗЫ пофиксил

Логи с обновленной AVZ?

[quote=wise-wistful;203885]Пардон, не понял?[/quote]
Как обновить, если инета нет?

Вы сейчас откуда пишете?

Из др офиса

скачайте обновления авз архивом [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] ... затем распакуете ...

Вот обновленные логи

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\efipsk.sys','');
QuarantineFile('D:\m6dqm2vd.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\m6dqm2vd.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\kavo0.dll','');
DeleteFile('C:\WINDOWS\system32\kavo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\m6dqm2vd.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\m6dqm2vd.exe');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20066[/url]


Повторите логи с п.10 Правил

а не могли бы вы сказать почему wincab.sys не виден ни откуда, я загружаюсь с liveCD и такго файла нигде нет, хотя к жескому диску обращений небыло, и возможно ли его както увидеть?

[quote=uniken1;204078]а не могли бы вы сказать почему wincab.sys не виден ни откуда, я загружаюсь с liveCD и такго файла нигде нет[/quote]
Этот файл похоже действительно не хранится на диске, а создается при запуске трояна, и потом уничтожается. Во всяком случае не припомню, чтобы он попадал в карантин. Можете попытаться найти его с помощью какой-нибудь программы восстановления удаленных файлов. Если получится - пришлите образчик по правилам.

С помощью скрипта вирус удаляется. Почему не получается удалить вирус вручную c загрузочного диска, удамением всех autorun, m6dqm2vd, kavo.exe, kavo0.dll (wincab.sys нет нигде,Temp\efipsk.sys а в Теmp вообще пусто)? Что такого особенного делает AVZ

Так а логи то где новые?

Вирус должен удалиться, но его последствия остаются.

Выкладываю логи после выполнения скрипта.
И еще выкладываю лог созданный File Monitor([URL]http://technet.microsoft.com/ru-ru/sysinternals/bb896642(en-us).aspx[/URL]) при выполнении m6dqm2vd.exe. Очень прошу посмотреть и обратить внимание на строки
148-164
462-489
832-836(wincab создается процессом iexplorer?)
Мне очень надо научиться полностью и быстро лечить этот вирус, т.к машин очень много заразилось!

В логах чисто

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Зловред создает троянский поток.....
[url]http://virusinfo.info/showpost.php?p=204168&postcount=7[/url]