Printable View
Недавно компьютер подхватил вирус, который Nod32 определяет как Win32/Agent.NVL Trojan и ничего не может с ним сделать, только помещает в карантин файлы ххххх.sys, где xxxxx цифры.
В процессах висит неубиваемый процесс system.exe, аналогичный файл в C\Windows\system32.
Этот вирус прописан в автозагрузке, при удалении появляется снова.
Системная дата 1 января 2070 г.
Прошу помочь, заранее спасибо.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\Documents and Settings\Иван\Рабочий стол\Новая папка\enter.jar','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\system.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделал как вы просили.
Обновите базы АВЗ, установите системную дату.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Иван\Рабочий стол\Новая папка\enter.jar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи
Вот новые логи
[B]Системное восстановление[/B] отключить и не включать пока не закончим!
Антивирус отключить или деинсталировать!
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\System Volume Information\_restore{B59051F6-B3D1-4D4C-867B-690D08EC1939}\RP133\A0028788.exe','');
QuarantineFile('C:\WINDOWS\system32\422.exe','');
QuarantineFile('C:\WINDOWS\system32\530.exe','');
QuarantineFile('C:\WINDOWS\system32\845.exe','');
DeleteFile('C:\WINDOWS\system32\422.exe');
DeleteFile('C:\WINDOWS\system32\530.exe');
DeleteFile('C:\WINDOWS\system32\845.exe');
DeleteFile('C:\System Volume Information\_restore{B59051F6-B3D1-4D4C-867B-690D08EC1939}\RP133\A0028788.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
скачайте свежий авптул [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] и им просканировать при удалённом антивирусе.
Сделайте повторные логи
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\иван\рабочий стол\новая папка\enter.jar - [B]Trojan-SMS.J2ME.Swapi.gen[/B] (DrWEB: archive: Java.SMSSend.1)[*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent.bssn[/B] (DrWEB: Win32.HLLW.Autoruner.6372)[/LIST][/LIST]