Подозрение на вирусы

Printable View

23.03.2009, 02:02
compik

Подозрение на вирусы

Подозрение на вирусы..
23.03.2009, 02:52
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Grish\Start Menu\Programs\Startup\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\Grish\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Armen\Local Settings\Temporary Internet Files\Content.IE5\0B0MWJZ1\svhost1[1].exe','');
DeleteFile('C:\Documents and Settings\Armen\Local Settings\Temporary Internet Files\Content.IE5\0B0MWJZ1\svhost1[1].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[1].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[2].exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temporary Internet Files\Content.IE5\KUS5OVAX\svhost1[3].exe');
DeleteFile('C:\Documents and Settings\Grish\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\Grish\Start Menu\Programs\Startup\userinit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=42284[/url]).
Сделайте новые логи.
23.03.2009, 11:20
compik

Выполнил скрипт.
Вирусы кажется удалились, но компьютер стал сильно тормозить..

И еще вопрос, как можно с помощю AVZ воостоновить стандартные настройки ?
23.03.2009, 11:27
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[size="1"][color="#666686"][B][I]Добавлено через 27 секунд[/I][/B][/color][/size]

"Стандартные настройки" - что имеется ввиду?
23.03.2009, 11:49
compik

[quote=Bratez;376114]Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).[/quote]

Карантин выслал, логи повторил.

[QUOTE]
Результат загрузки
Файл сохранён как 090323_114554_virus_49c74c42e270f.zip
Размер файла 137470
MD5 e8bc8dca2ea776d894f3232d914fd14a
Файл закачан, спасибо![/QUOTE]

[quote=Bratez;376114]"Стандартные настройки" - что имеется ввиду?[/quote]

в AVZ есть "Мастер поиска и устранения проблем"
23.03.2009, 13:51
Bratez

В логах больше ничего плохого не видно.

[quote=compik;376126]в AVZ есть "Мастер поиска и устранения проблем"[/quote]
Есть такой.
23.03.2009, 15:48
compik

Зашел с другого юзера, вирус сново появился.
Посмотрел startup вирус лежит во всех 3 юзерах.

Сделал сново логи, лог п.1(virusinfo_syscure.zip) некак сделать не получается, компьютер зависает и приходится делать рестарт, и так и за вируса компьютер очень тормозит.
23.03.2009, 15:55
Bratez

Вот скрипт для этого юзера:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Armen\Armen.exe');
DeleteFile('C:\Documents and Settings\Armen\Start Menu\Programs\Startup\userinit.exe');
DeleteFile('C:\Documents and Settings\Armen\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati64si');
BC_Activate;
RebootWindows(true);
end.[/CODE]
А вообще-то ваш DrWeb этот вирус знает, наверно базы не обновляете! Обновите и просканируйте компьютер полностью, он должен справиться.
23.03.2009, 16:06
compik

DrWeb находит вирус, удаляет, но он сново появляется.
24.03.2009, 16:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\grish\start menu\programs\startup\userinit.exe - [B]P2P-Worm.Win32.Socks.jo[/B] ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )[*] c:\documents and settings\grish\svchost.exe - [B]P2P-Worm.Win32.Socks.jo[/B] ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )[*] c:\documents and settings\localservice\svchost.exe - [B]P2P-Worm.Win32.Socks.jo[/B] ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )[*] c:\windows\system32\drivers\services.exe - [B]P2P-Worm.Win32.Socks.jo[/B] ( DrWEB: Win32.HLLW.Brutus.4667, BitDefender: Worm.Generic.48311 )[/LIST][/LIST]