Доброго времени суток!
Неизвестно откуда подцепил эту бяку. Висит в трее, постоянно и настойчиво о себе напоминая. Самодеятельность (аккуратная:) )в удалении не помогла. Англоязычные сайты советуют вообще что-то странное.
Прошу помочь. Спасибо.
Printable View
Доброго времени суток!
Неизвестно откуда подцепил эту бяку. Висит в трее, постоянно и настойчиво о себе напоминая. Самодеятельность (аккуратная:) )в удалении не помогла. Англоязычные сайты советуют вообще что-то странное.
Прошу помочь. Спасибо.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\916653139.exe','');
DeleteService('BsMobileCSSSDPSRV');
QuarantineFile('BsMobileCSSSDPSRV.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\c6b148e0.sys','');
QuarantineFile('C:\DOCUME~1\0742~1\LOCALS~1\Temp\RarSFX0\sf3w2.exe','');
QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
QuarantineFile('C:\DOCUME~1\0742~1\LOCALS~1\Temp\WfgOM07N.sys','');
QuarantineFile('c:\documents and settings\localservice\application data\916653139.exe','');
DeleteFile('c:\documents and settings\localservice\application data\916653139.exe');
DeleteFile('C:\DOCUME~1\0742~1\LOCALS~1\Temp\RarSFX0\sf3w2.exe');
DeleteFile('C:\WINDOWS\System32\drivers\c6b148e0.sys');
DeleteFile('C:\DOCUME~1\0742~1\LOCALS~1\Temp\WfgOM07N.sys');
DeleteFile('BsMobileCSSSDPSRV.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\916653139.exe');
ExecuteRepair(11);
ExecuteRepair(9);
ExecuteRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скрипт выполнил. При загрузке Доктор не вылез.
Карантин запароленный выслал.
Новые Логи:
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
DeleteService('c6b148e0');
DeleteFile('C:\WINDOWS\System32\drivers\c6b148e0.sys');
DeleteFile('msfir80.exe');
DeleteFile('msime80.exe');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
выполнил.
надо сказать незадолго до вашего поста этот гад снова сам включился и повис в трее)
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\localservice\application data\916653139.exe');
TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
DeleteFile('c:\documents and settings\localservice\application data\916653139.exe');
DeleteFile('c:\windows\system32\avast!antivirus.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('avast!antivirus');
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
выполнил. после рестарта вирус не проявился. как дальше будет не знаю
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ExecuteRepair(13);
end.[/CODE]2. Выполните [URL]http://virusinfo.info/showthread.php?t=43700[/URL]
3. Повторите лог [B]virusinfo_syscheck.[/B]
[QUOTE]2. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url][/QUOTE]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv
у меня такого подраздела нет. возможно из-за выключенной системы обновления?
остальное исправил.
Ничего зловредного в логах нет.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Большое спасибо за помощь.
Архив загрузил, в той теме отписался.
Ответ [url]http://virusinfo.info/showpost.php?p=406060&postcount=1196[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\application data\916653139.exe - [B]not-a-virus:FraudTool.Win32.MalwareDoctor.g[/B] ( DrWEB: Trojan.Fakealert.4335 )[*] c:\program files\common files\target marketing agency\tmagent\extension\components\fftma.dll - [B]not-a-virus:AdWare.Win32.Agent.llv[/B] ( BitDefender: Adware.Generic.52855 )[*] c:\windows\system32\avast!antivirus.exe - [B]Trojan-Downloader.Win32.Agent.bzcq[/B] ( DrWEB: Trojan.DownLoad.37468 )[/LIST][/LIST]