Сначала появился "вымогатель", после проверки NOD32, и CureIt-ом в соответствии с правилами - NOD постоянно обнаруживает Win32/AutoRun.FakeAlert.M
Логи прилагаю.
Заранее спасибо
Printable View
Сначала появился "вымогатель", после проверки NOD32, и CureIt-ом в соответствии с правилами - NOD постоянно обнаруживает Win32/AutoRun.FakeAlert.M
Логи прилагаю.
Заранее спасибо
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTUZSPIF\pin[1].exe','');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\RsFx0102.sys','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
TerminateProcessByName('c:\windows\system32\riodrv.exe');
QuarantineFile('c:\windows\system32\riodrv.exe','');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\portmap.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTUZSPIF\pin[1].exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=46559"]http://virusinfo.info/upload_virus.php?tid=46559[/URL]
Повторите логи по правилам.
Кажется все почистилось! Логи прилагаю. Спасибо
Ну вот и славно.
А теперь
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe
[/CODE]
Установите Adobe Reader 9.1 или деинсталлируйте старый.
И просьба, выполните это [URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Trojan-Spy.Win32.Agent.asyp[/B] ( DrWEB: Win32.HLLW.Autoruner.6326 )[*] c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\ctuzspif\pin[1].exe - [B]Trojan.Win32.Buzus.bbra[/B][*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.fy[/B] ( DrWEB: Trojan.DownLoad.5244 )[*] c:\windows\system32\riodrv.exe - [B]Backdoor.Win32.Delf.pge[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]