Подхватил заразу через Qip, которая под Gif картинкой завязана. Теперь всем своим контактам тоже самое рассылаю. Доктор В. не может найти.
Подскажите как устранить проблему.
Printable View
Подхватил заразу через Qip, которая под Gif картинкой завязана. Теперь всем своим контактам тоже самое рассылаю. Доктор В. не может найти.
Подскажите как устранить проблему.
- Закачайте файл [COLOR="Red"]..\avz\log\viruinfo_cure.zip[/COLOR] по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - AppInit_DLLs:
O20 - Winlogon Notify: mcrwave - mcrwave.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\WebMoney\setupapi.dll','');
QuarantineFile('mcrwave.dll','');
DeleteFile('mcrwave.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\mcrwave.dll');
DeleteFile('C:\Program Files\WebMoney\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
Все сделал.
А карантин повторно присылать?
[QUOTE=GRuS;447148]А карантин повторно присылать?[/QUOTE]то, что Вы уже прислали, нашел АВЗ. То что Вы еще должны прислать, нашел Ваш покорный слуга, т.е. это не ПОВТОРНО :)
Пытаюсь загрузить карантин. Ошибка "файл уже был загружен". Может его переименовать?
Кстати карантин-то теперь пуст.
AVPTool можете деинсталлировать.
Что с проблемами?
Пароли на WebMoney поменяйте.
[QUOTE=light59;447163]AVPTool можете деинсталлировать.
Что с проблемами?
Пароли на WebMoney поменяйте.[/QUOTE]
Пароли на WM поменяю.
Исчезла проблема или нет в данный момент сказать не смогу, т.к. спам от моей учетки в аськи рассылается 3-4раза в неделю.
А что логи показали?
я ничего плохого не вижу.
Пароли на аську тоже поменяйте, раз спамите + я бы советовал деинсталлировать ее и установить свежескачанный. Историю можете сохранить.
Так в том-то проблема, что не помогает ни смена пароля(менял много раз), ни инсталяция новых версий(даже сами агенты менял).
Я думал, что сидит какой-то червь, который периодически сканировал мои новые пароли и тихо отсылал "негодяю". Но раз ничего подозрительного не обнаружено..... Я просто в замешательстве:O
Ну почему ничего подозрительного, мы вам удалили Trojan.Win32.Agent.aezz.
Наблюдайте за проблемой.
[QUOTE=light59;447176]Ну почему ничего подозрительного, мы вам удалили Trojan.Win32.Agent.aezz.
Наблюдайте за проблемой.[/QUOTE]
О! Спасибо. Будем наблюдать.:)
Только вот какой-то драйвер слетел с неизвестного оборудования.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
У меня в панели быстрого запуска значек системной папки появился. Что-то я не догоню, как его ликвидировать)
[QUOTE='GRuS;447185']Только вот какой-то драйвер слетел с неизвестного оборудования.[/QUOTE]
Это AVZ .
Выполните скрипт.
[code]
begin
ExecuteStdScr(6);
SetAVZPMStatus(false);
rebootwindows(true);
end.[/code]
[QUOTE='GRuS;447185']У меня в панели быстрого запуска значек системной папки появился[/QUOTE]
Не понял. Мб скрин?
Выполнил скрипт. Не помог.
[QUOTE='light59;447191']Цитата:
Не понял. Мб скрин? [/QUOTE]
Раньше значка не было.
Вот скрины
Сейчас уберём.
[CODE]begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/CODE]
Неизвестное оборудование больше не появляется?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Забыл сказать, что спасибо не говорят, а нажимают :)
[QUOTE='light59;447204']Неизвестное оборудование больше не появляется?[/QUOTE]
Все скрипты выполнил.
Н/оборудование все еще появляется.
А если удалить его в Диспетчере оборудования, оно после перезагрузки появляется?
Удалил через диспетчер. Все нормализовалось. Спасибо огромное.
Теперь будем наблюдать за учеткой своей аськи. Надеюсь спамить она перестанет:D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\webmoney\setupapi.dll - [B]Trojan.Win32.Agent.ctus[/B] ( DrWEB: Trojan.PWS.Webmonier.60, BitDefender: Gen:Trojan.Heur.GM.4004010520 )[/LIST][/LIST]