Вирус
Printable View
Вирус
virus нельзя прикреплять в теме , читайте правила
Не созла...
Не правильно понял - в панике...
[QUOTE=doublew;278752]Не правильно понял - в панике...[/QUOTE]А что, за Вами мафия гонится?
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не выключен установленный антивирус.[/COLOR]
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej04.sys','');
QuarantineFile('c:\windows\system32\lphcv3rj0er17.exe','');
DeleteService('Winye48');
DeleteService('Winuy48');
DeleteService('Winpt50');
DeleteService('Winhm16');
DeleteService('Winej04');
DeleteService('WDICA');
DeleteService('wscsvcAlerter');
DeleteService('WmiSharedAccess');
DeleteService('WmiRasAuto');
DeleteService('WmiNtmsSvc');
DeleteService('WebClient LM Service');
DeleteService('TrkWksPlugPlayAudioSrv');
DeleteService('TrkWksPlugPlay');
DeleteService('ThemesHTTPFilter');
DeleteService('SysmonLogSSDPSRV');
DeleteService('stisvcSamSs');
DeleteService('ScheduleRSVP');
DeleteService('ScheduleRDSessMgr');
DeleteService('RasManBrowser');
DeleteService('RasAutoNtLmSsp');
DeleteService('NetmanWmiNtmsSvc');
DeleteService('NetlogonClipSrv');
DeleteService('NetDDEdsdmdmadmin');
DeleteService('NBServiceDcomLaunch');
DeleteService('FastUserSwitchingCompatibilityxmlprov');
DeleteService('Dhcpupnphost');
DeleteService('CiSvc LM Service');
DeleteService('aspnet_stateWmiNtmsSvc');
DeleteService('aspnet_stateAudioSrv');
DeleteService('AppMgmthelpsvc');
DeleteService('ALG LM Service');
DeleteService('AlerterDhcp');
DeleteFile('c:\windows\system32\lphcv3rj0er17.exe');
DeleteFile('C:\WINDOWS\system32\blphcv3rj0er17.scr');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winye48');
BC_DeleteSvc('Winuy48');
BC_DeleteSvc('Winpt50');
BC_DeleteSvc('Winhm16');
BC_DeleteSvc('Winej04');
BC_DeleteSvc('WDICA');
BC_DeleteSvc('wscsvcAlerter');
BC_DeleteSvc('WmiSharedAccess');
BC_DeleteSvc('WmiRasAuto');
BC_DeleteSvc('WmiNtmsSvc');
BC_DeleteSvc('WebClient LM Service');
BC_DeleteSvc('TrkWksPlugPlayAudioSrv');
BC_DeleteSvc('TrkWksPlugPlay');
BC_DeleteSvc('ThemesHTTPFilter');
BC_DeleteSvc('SysmonLogSSDPSRV');
BC_DeleteSvc('stisvcSamSs');
BC_DeleteSvc('ScheduleRSVP');
BC_DeleteSvc('ScheduleRDSessMgr');
BC_DeleteSvc('RasManBrowser');
BC_DeleteSvc('RasAutoNtLmSsp');
BC_DeleteSvc('NetmanWmiNtmsSvc');
BC_DeleteSvc('NetlogonClipSrv');
BC_DeleteSvc('NetDDEdsdmdmadmin');
BC_DeleteSvc('NBServiceDcomLaunch');
BC_DeleteSvc('FastUserSwitchingCompatibilityxmlprov');
BC_DeleteSvc('Dhcpupnphost');
BC_DeleteSvc('CiSvc LM Service');
BC_DeleteSvc('aspnet_stateWmiNtmsSvc');
BC_DeleteSvc('aspnet_stateAudioSrv');
BC_DeleteSvc('AppMgmthelpsvc');
BC_DeleteSvc('ALG LM Service');
BC_DeleteSvc('AlerterDhcp');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вроде всё сделал по пунктам.:O
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
Больше ничего зловредного не вижу.
Заставка
"win32/advare.Virtumonde
Win32/PrivacyRemuver.M64"
с рабочего стола не пропала ...
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
Вроде всё ОК.:D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\lphcv3rj0er17.exe - [B]Backdoor.Win32.Frauder.dk[/B] (DrWEB: Trojan.Fakealert.1296)[/LIST][/LIST]