Вирусы 3

Printable View

20.05.2008, 20:09
BMW

Вирусы 3

Привет всем ! ребята посмотрите логи плиз , НОД 32 матюкается на вирус вроде удаляет а получается НЕТ :( Находит вирус в папке "RECYCLER"
20.05.2008, 20:21
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fheploy.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-81C01C608512');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=23139[/url]

повтотире логи.
21.05.2008, 07:55
BMW

карантин выслал

Файл сохранён как 080520_225449_virus_48339d09cb8f0.zip
Размер файла 1080310
MD5 386df3d31224a84a2f067ad444442e37
21.05.2008, 09:25
V_Bond

C:\WINDOWS\system32\fheploy.dll - попробуйте поискать при помощи авз и прислать по правилам ...
21.05.2008, 09:39
BMW

н енашел такого файла ни при помощи АВЗ ни простым поиском высылаю повторные логи вроде чисто по логам :)
21.05.2008, 09:43
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fheploy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Повторите логи начиная с п.10 правил.
21.05.2008, 18:06
BMW

скрипт выполнил - лог повторяю
21.05.2008, 18:16
BMW

мля пока работали опять флэшкой занесли скорее всего эту гадость "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
" после выполнения первого скрипта я логи смотрел её не было

Поди выполнить в АВЗ скрипт №3 ?
21.05.2008, 20:05
PavelA

Можно и без скрипта. Через поиск в АВЗ найти этот файлик, поместить в карантин и удалить.

Автозапуск флешек надо срочно отключить.

После этого можно будет и логами заняться.
21.05.2008, 21:01
BMW

через поиск не нашел но попробовал сам сделать скрипт вот такой

begin
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
RebootWindows(true);
end.

правильно ли я сделал?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

нда скрипт не удалил, в логах в "Active setup" сидит эта зараза :) хотя самого файла нет на диске . Поди мы победили ?
21.05.2008, 21:16
V_Bond

авз - сервис - Active setup - удалить C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
21.05.2008, 21:29
BMW

Спасибо огромное в логах теперь этого файла нет :) Скажите плиз а скрипт который я писал он не правильный ? или надо было что то в него добавить ?
21.05.2008, 22:20
V_Bond

скажем нужно было бы приблизительно так ...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

но стоит это делать через Active setup авз ;)
21.05.2008, 22:23
BMW

[quote=V_Bond;229933]скажем нужно было бы приблизительно так ...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

но стоит это делать через Active setup авз ;)[/quote]

А что означает делать через Active setup авз ? И такой вопрос - в логах чисто ?
21.05.2008, 22:26
V_Bond

[URL="http://virusinfo.info/showpost.php?p=229914&postcount=11"]означает[/URL] ...
в логах чисто ...
21.05.2008, 22:38
BMW

Спасибо огромное !!!!!!! Но не прощаюсь :)
22.05.2008, 07:50
PavelA

[QUOTE=BMW;229934]А что означает делать через Active setup авз ?[/QUOTE]

Это означает только то, что немного выше посоветовал V_Bond
- зайти в АВЗ - Менеджер Active setup и удалить.
23.05.2008, 07:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]