Тема аналогична этим двум: [url]http://virusinfo.info/showthread.php?t=45242[/url] и [url]http://virusinfo.info/showthread.php?t=42879[/url]. Собсвенно опять нужно вылечить комп без радикальных мер. Прошу помощи.
Printable View
Тема аналогична этим двум: [url]http://virusinfo.info/showthread.php?t=45242[/url] и [url]http://virusinfo.info/showthread.php?t=42879[/url]. Собсвенно опять нужно вылечить комп без радикальных мер. Прошу помощи.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38656.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38593.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.33437.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27453.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27437.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27390.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27015.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26828.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26781.exe','');
QuarantineFile('C:\WINDOWS\system32\SCVHOST.exe','');
QuarantineFile('C:\WINDOWS\system32\AB9F8E\BE9EA5.EXE','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.35906.exe','');
DeleteService('abp470n5');
DeleteService('NdisFileServices32');
QuarantineFile('C:\WINDOWS\system32\drivers\hpqgp.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ijlugn.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\com.run','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\scvhost.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
QuarantineFile('c:\windows\system32\ab9f8e\be9ea5.exe','');
DeleteFile('c:\windows\system32\ab9f8e\be9ea5.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\scvhost.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\AE06~1\LOCALS~1\Temp\E_4\shell.fne');
DeleteFile('C:\WINDOWS\system32\drivers\ijlugn.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.35906.exe');
DeleteFile('C:\WINDOWS\system32\AB9F8E\BE9EA5.EXE');
DeleteFile('C:\WINDOWS\system32\SCVHOST.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26781.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26828.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27015.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27390.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27437.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27453.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.33437.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38593.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.38656.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обычный AVZ не запускается? Скачайте файл [url]http://narod.ru/disk/9321269000/avz.exe.html[/url] (это более свежая версия полиморфного AVZ).
Сделайте новые логи и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Пожалуйста
Компьютер заражен файловым вирусом Virus.Win32.Sality.aa (Win32.Sector.17) Как лечить: [url]http://virusinfo.info/showthread.php?t=15927[/url]
К сожалению не помог др. вэб, даже салити офф не смог его до конца выкорчевать, а конкретно из msmsgs.exe или .dll, расширение точно не запомнил. Взять винт и просканить на здоровом компьютере нет возможности т.к. комп запечатанный. Что посоветуете?
P.S. AVZ и хайджек всё так же не работают, впрочем как остались и всё остальные признаки, а сделать логи полиморфным АВЗ я забыл(
[url]http://virusinfo.info/showthread.php?t=15927[/url]
- попробуйте DrwebLivecd
- avptool и cureit в безопасном режиме и нормальном режиме
Все утилиты нужно скачивать на незараженных машинах.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\главное меню\программы\автозагрузка\~.exe.35906.exe - [B]P2P-Worm.Win32.Bacteraloh.h[/B] ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Sality.N )[*] c:\docume~1\ae06~1\locals~1\temp\e_4\com.run - [B]Trojan.Win32.Agent.cidw[/B] ( BitDefender: Trojan.Generic.1415580 )[*] c:\pagefile.pif - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\ab9f8e\be9ea5.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.HLLW.Autoruner.4068, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\blastclnnn.exe - [B]Worm.Win32.AutoRun.qvd[/B] ( DrWEB: Win32.HLLW.Texmer.43, BitDefender: Trojan.AutoIt.SV )[*] c:\windows\system32\com\lsass.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\com\smss.exe - [B]Virus.Win32.Xorer.dt[/B] ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DU )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.26781.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.26828.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27015.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27390.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27437.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.27453.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.33437.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.38593.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\config\systemprofile\главное меню\программы\автозагрузка\~.exe.38656.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\csrcs.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[*] c:\windows\system32\dnsq.dll - [B]Trojan-PSW.Win32.Agent.acp[/B] ( DrWEB: Win32.HLLP.Rox.16, BitDefender: Trojan.Generic.1735818 )[*] c:\windows\system32\drivers\ijlugn.sys - [B]Virus.Win32.Sality.s[/B] ( DrWEB: Trojan.Ipsof, BitDefender: Trojan.Rootkit.AF )[*] c:\windows\system32\scvhost.exe - [B]P2P-Worm.Win32.Bacteraloh.h[/B] ( DrWEB: Win32.HLLW.Texmer.43, BitDefender: Trojan.AutoIt.SV )[*] c:\windows\system32\wmdrtc32.dll - [B]Virus.Win32.Sality.s[/B] ( DrWEB: Win32.Sector.28682, BitDefender: Win32.Warezov.ET@mm )[*] f:\tywk.cmd - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]