Printable View
Появился значок у юзверя на рабочем столе.
При запуске появляется окно Windows Security Center (хотя Винды русские :) ), где в каждом пункте (Firewall...Antivirus) говорится, что незарегистрированная версия AntivirusPro2009 и предлагается зарегистрировать. Периодически возникает окно с сообщением об обнаружении вирусов и предложением регистрации.
Логи прилагаю.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvemu.sys','');
QuarantineFile('C:\Program Files\AntivirusPro2009\pthreadVC2.dll','');
QuarantineFile('C:\Program Files\AntivirusPro2009\htmlayout.dll','');
QuarantineFile('C:\Program Files\AntivirusPro2009\AVEngn.dll','');
QuarantineFile('c:\program files\antiviruspro2009\antiviruspro2009.exe','');
TerminateProcessByName('c:\program files\antiviruspro2009\antiviruspro2009.exe');
DeleteFile('c:\program files\antiviruspro2009\antiviruspro2009.exe');
DeleteFile('C:\Program Files\AntivirusPro2009\AVEngn.dll');
DeleteFile('C:\Program Files\AntivirusPro2009\htmlayout.dll');
DeleteFile('C:\Program Files\AntivirusPro2009\pthreadVC2.dll');
DeleteFile('C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe');
DeleteFile('C:\WINDOWS\system32\brastk.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Логи прилагаю.
Карантин выслал.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O4 - HKLM\..\Run: [brastk] brastk.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('brastk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Повторите логи...
После фикса, выполнения скрипта и перезагрузки появилось неизвестное устройство :) Диска с драйверами от ноута до пнд не будет.
Логи прилагаю.
Ничего страшного просто удалите его, это побочный эффект работы авзгуард...
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\drivers\TDSSiyvv.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\TDSSiyvv.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSiyvv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин пуст.
Логи прилагаю.
Сделайте полную проверку CureIT, в логах чисто...
Сделал. Все чисто (пока). Спасибо.