Вирус Win32\Virut.NBP

Printable View

Показывать 40 сообщений этой темы на одной странице

25.08.2009, 15:30
hanter

Вложений: 3

Вирус Win32\Virut.NBP

Было много вирусов. Часть из них NOD32 удалил. Остался Win32\Virut.NBP который антивирус удалить не может. Может быть еще что-то осталось.
Файл virusinfo_cure.zip загрузить не смог размер 1,60 мб превышен допустимый предел
25.08.2009, 15:38
Rene-gad

Скачайте [URL="http://www.speedshare.org/download.php?id=048411093"]Special AVZ[/URL] (alias [b]kiss_me.pif[/b]) и сделайте логи им. Базы обновлять не надо.
Файл avz.exe закачайте по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 и 3 правил).
Закачайте virusinfo_cure.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы .
25.08.2009, 16:44
hanter

Отправил virusinfo_cure.zip

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Закачал avz.exe
25.08.2009, 17:02
thyrex

[QUOTE='Rene-gad;455700']Скачайте Special AVZ (alias kiss_me.pif) и сделайте логи им. Базы обновлять не надо.[/QUOTE]Это выполняйте
25.08.2009, 17:38
hanter

Вложений: 2

Special AVZ (alias kiss_me.pif) и сделайте логи им.
25.08.2009, 17:46
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\progman.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

3. Файл [color="Red"]ntfs.sys[/color] нужно заменить на чистый из дистрибутива:
- Загрузитесь в [url="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/url]
- На приглашение введите строку:
[code]expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys[/code]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного.

Повторите логи.
26.08.2009, 10:09
hanter

Вложений: 3

Все выполнил
Вот логи
26.08.2009, 11:42
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Скачайте последнюю версию АВЗ по ссылке в правилах.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O4 - HKLM\..\Run: [20892] C:\WINDOWS\system32\1C.tmp.exe
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\1C.tmp.exe','');
DeleteFile('C:\WINDOWS\system32\1C.tmp.exe');
QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
DeleteFile('c:\progra~1\ThunMail\testabd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(7);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
26.08.2009, 14:25
hanter

Вложений: 4

Сделал
26.08.2009, 15:49
Rene-gad

C:\WINDOWS\system32\Drivers\NDIS.sys - пришлите по правилам (приложение 2 и 3).
МБАМ нужно полное сканирование делать.
26.08.2009, 16:31
hanter

Вложений: 1

МБАМ нужно полное сканирование делать.
26.08.2009, 18:45
Rene-gad

- Файл [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
27.08.2009, 10:29
hanter

Вложений: 3

NDIS заменил
Теперь драйвер сетевой платы не могу установить
27.08.2009, 11:52
AndreyKa

Пришлите файл f:\avz4\avz4\34567.exe в zip архиве с паролем virus по ссылке [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.
27.08.2009, 13:21
hanter

Я конечно пришлю его, но этот файл с флэшки а не с зараженного компьютера.
27.08.2009, 13:36
Rene-gad

[QUOTE=hanter;456960]Теперь драйвер сетевой платы не могу установить[/QUOTE]Что значит не могу? Сетевую плату в диспетчере оборудования удалите, перегрузитесь. Если Винда ее распознает - попытается установить свой драйвер из кеша. Если нет - попросит указать путь к драйверу.

А файлик все равно пришлите: он в логе как работающий показан. Или это переименованный АВЗ? Если да - то присылать не надо.
27.08.2009, 13:48
AndreyKa

Файл вылечен, но его контрольная изменилась. Распакуйте AVZ.exe из архива снова.
27.08.2009, 14:18
hanter

Что с компьютером делать, какие дальнейшие действия
Nod32 по прежнему ругается на Win32/Virut.NBP
27.08.2009, 14:38
AndreyKa

[QUOTE='hanter;457172']Nod32 по прежнему ругается на Win32/Virut.NBP [/QUOTE]В каких файлах он обнаруживается?
27.08.2009, 15:04
hanter

Может это и ложное срабатывание, не знаю

Журнал проверки
Версия базы данных сигнатур вирусов: 4364 (20090824)
Дaтa: 27.08.2009 Время: 13:18:12
Просканированные диски, папки и файлы: Оперативная память;C:\Загрузочный сектор;C:\;D:\Загрузочный сектор;D:\
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\Program Files\Common Files\LightScribe\LSSrvc.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\Program Files\CyberLink\Shared Files\RichVideo.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\Program Files\UPHClean\uphclean.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe - Win32/Virut.NBP вирус - Ошибка при очистка
C:\WINDOWS\system32\wbem\mofcomp.exe - Win32/Virut.NBP вирус - очистка невозможна

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Кроме того при распаковке этим вирусом заражается AVZ

Показывать 40 сообщений этой темы на одной странице