Зверье мое

Printable View

10.04.2008, 17:52
Ven

Зверье мое

Здрасти:)
10.04.2008, 18:00
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvscv32.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\drivers\nvscv32.exe');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21336[/url]).

Выполните это:
[url]http://virusinfo.info/showthread.php?t=8877[/url]

Сделайте новые логи.
10.04.2008, 18:14
Ven

карантин 20 МБ....может как-то без него можно?:)
10.04.2008, 18:16
Bratez

Ладно, пришлите из карантина только
C:\WINDOWS\system32\drivers\nvscv32.exe
10.04.2008, 18:34
Ven

при открытии файла regedit.exe окно открывается на пару секунд и исчезает
10.04.2008, 18:40
Bratez

Давайте новые логи, посмотрим, что осталось.
11.04.2008, 13:10
Ven

готово
11.04.2008, 13:13
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\nvscv32.exe');
DeleteFile('c:\windows\system32\drivers\nvscv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.Повторите эти же логи.
11.04.2008, 13:51
Ven

вот
11.04.2008, 13:56
drongo

не выходит, что-то его охраняет. вы антивирус отключали перед исполнением скрипта? Если нет, отключите- а затем скрипт.
Также вот этот драйвер C:\WINDOWS\system32\Drivers\VVBackd5.sys
прислать- пункт 2 правил .
может это наш друг-охранник ;)
14.04.2008, 12:05
Ven

прислал
14.04.2008, 13:45
drongo

нет, он чистый. правда от какой-то программы по восстановлению данных.

RITCPT.sys - тоже пришлите, только пароль virus не забудьте поставить на zip

Попробуйте в безопасном режиме вот такой скрипт:
[code]
begin
TerminateProcessByName('c:\windows\system32\drivers\nvscv32.exe');
DeleteFile('c:\windows\system32\drivers\nvscv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]

сделайте все новые логи после операции.
22.02.2009, 04:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\nvscv32.exe - [B]Worm.Win32.Fujack.aa[/B] (DrWEB: Win32.HLLP.Whboy)[/LIST][/LIST]