Вирус - появился исходящий трафик. Nod32 - справиться с ним не может, утилитой dr.web вроде бы очищает, но потом снова появляется...
Printable View
Вирус - появился исходящий трафик. Nod32 - справиться с ним не может, утилитой dr.web вроде бы очищает, но потом снова появляется...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Galov\Рабочий стол\Программка\Admin12\Audatex1\Hlvdd.dll','');
QuarantineFile('C:\DOCUME~1\Galov\LOCALS~1\Temp\wint34dEvudAYo1.exe','');
SetServiceStart('Winqx64', 4);
SetServiceStart('Winpw86', 4);
SetServiceStart('Winpw52', 4);
SetServiceStart('Winmt52', 4);
SetServiceStart('Winbj06', 4);
SetServiceStart('Winah20', 4);
SetServiceStart('tcpsr', 4);
SetServiceStart('Tbi31', 4);
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbi31.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbj06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx64.sys');
DeleteFile('C:\DOCUME~1\Galov\LOCALS~1\Temp\wint34dEvudAYo1.exe');
DeleteFile('WinCtrl32.dll');
DeleteService('Winqx64');
DeleteService('Winpw86');
DeleteService('Winpw52');
DeleteService('Winmt52');
DeleteService('Winbj06');
DeleteService('Winah20');
DeleteService('tcpsr');
DeleteService('Tbi31');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE] O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll [/CODE]
Повторите логи.
Обновленные логи...
вроде бы вирус еще жив... :(
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winqx86');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx86.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
3. Повторите логи.
Новые логи...
Скачайте [url=http://ifolder.ru/6493654]Icesword[/url]
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\Winqx86.sys
Нажмите по нему правой кнопкой мыши и выберите [B]force delete[/B].
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
И потом выполните скрипт из поста №5
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Повторите логи.
Сделал, обновил логи...
Ничего зловредного в логах нет.
[QUOTE]9. Мастер поиска и устранения проблем
>> [COLOR="Red"]Нарушение ассоциации SCR файлов[/COLOR]
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей[/QUOTE]
Устраняется в AVZ: "Файл" -> "Мастер поиска и устранения проблем" -> нажать "Пуск".
В найденных проблемах отметить их и нажать "Исправить отмеченные проблемы".
Всем огромное спасибо за оказанную помощь!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]