Подозрение на вирус Renos

Printable View

31.07.2009, 12:16
alekseygalkin

Подозрение на вирус Renos

Подозрение на вирус
Антивирусы говорят чисто
windows defender, показывет угрозу TrojanDownloader:Win32/Renos
drweb не переставляется с 4.44 на 5
31.07.2009, 12:24
AndreyKa

[b]Отключите службу восстановления системы[/b] (см. Приложение 1 Правил).
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
SysCleanAddFile('braviax.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('cru629.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat 9.1 или удалите старый.
Обновите Java.
31.07.2009, 15:28
alekseygalkin

Выполнил по пунктам.
Карантин выслан.
Обновления устанавливаю.
31.07.2009, 15:36
Rene-gad

[QUOTE=alekseygalkin;440812]
windows defender, показывет угрозу TrojanDownloader:Win32/Renos
drweb не переставляется с 4.44 на 5[/QUOTE]
Удалите ВСЕ установленные антивирусы

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\DRIVERS\klif.sys','');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте повторные логи
[b]virusinfo_syscheck.zip
hijackthis.log [/b]
03.08.2009, 12:00
alekseygalkin

DRWEB 5 удален
Файл перенесен в карантин и отправлен
Журналы работы во вложении
03.08.2009, 12:16
Rene-gad

[QUOTE=alekseygalkin;441940]DRWEB 5 удален
[/QUOTE]Я просил, удалить ВСЕ антивирусы:
- Windows Defender?
- Kaspersky?
03.08.2009, 12:37
alekseygalkin

Что переслать заново?
03.08.2009, 13:22
Rene-gad

[QUOTE=alekseygalkin;441955]Что переслать заново?[/QUOTE]Если будете ВНИМАТЕЛьНО относиться к просьбам хелперов - переделывать не придётся :)
03.08.2009, 14:51
alekseygalkin

Windows defender деинсталирован
Kaspersky отсутствует
протоколы еще раз
файл из карантина еще раз
03.08.2009, 14:55
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteService('KLIF');
DeleteFile('C:\WINDOWS\System32\DRIVERS\klif.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('KLIF');
BC_Activate;
RebootWindows(true);
end.
[/CODE]После перезагрузки сообщите, какие ещё проблемы остались?
04.08.2009, 09:34
alekseygalkin

Пока проблем не наблюдается
05.08.2009, 09:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]