Добрый день!
На компьютере был обнаружен вирус с файлом csrcs.exe
Было проведено удаление файлов в ручном режиме, а так же удаление записей в реестре.
подозрение на наличие его в системе еще остались.
Просьба посмотреть что еще осталось.
Спасибо.
Printable View
Добрый день!
На компьютере был обнаружен вирус с файлом csrcs.exe
Было проведено удаление файлов в ручном режиме, а так же удаление записей в реестре.
подозрение на наличие его в системе еще остались.
Просьба посмотреть что еще осталось.
Спасибо.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{9CB65206-89C4-402c-BA80-02D8C59F9B1D}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('c:\winnt\system32\ntos.exe','');
QuarantineFile('C:\WINNT\system32\twext.exe','');
QuarantineFile('C:\WINNT\system32\servises.exe','');
QuarantineFile('C:\WINNT\system32\DRIVERS\ipswuio.sys','');
QuarantineFile('is-MRR6Adrv.sys','');
DeleteService('is-MRR6Adrv');
QuarantineFile('C:\WINNT\system32\cusrvc.exe','');
QuarantineFile('C:\WINNT\system32\DRIVERS\44578665.sys','');
QuarantineFile('C:\WINNT\system32\e8main0.dll','');
DeleteFile('C:\WINNT\system32\e8main0.dll');
DeleteFile('C:\WINNT\system32\DRIVERS\44578665.sys');
DeleteFile('is-MRR6Adrv.sys');
DeleteFile('C:\WINNT\system32\DRIVERS\is-MRR6Adrv.sys');
DeleteFile('C:\WINNT\system32\servises.exe');
DeleteFile('C:\WINNT\system32\twext.exe');
DeleteFile('c:\winnt\system32\ntos.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
DeleteFile('D:\autorun.inf');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('is-MRR6Adrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Пофиксите:
[CODE]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\system32\ntos.exe,[/CODE]
Это знакомо?
[CODE]O4 - Startup: _uninst_is-MRR6A.exe.bat[/CODE]
Эти адреса в хостс сами добавили?
[CODE]O1 - Hosts: 193.39.76.4 mti.adelite.com plasmamti.adelite.com
O1 - Hosts: 193.39.76.4 mti.adelite.com plasmamti.adelite.com 99mti.adelite.com[/CODE]
Подготовьте новые логи.
Файл с карантином закачал
090827_111237_virus_4a9631e5c6613.zip
[QUOTE=Белый Сокол;456997]
Это знакомо?
[CODE]O4 - Startup: _uninst_is-MRR6A.exe.bat[/CODE]
[/QUOTE]
Не знакомо.
Компьютер рабочий может что-то админское ;)
[QUOTE=Белый Сокол;456997]
Эти адреса в хостс сами добавили?
[CODE]O1 - Hosts: 193.39.76.4 mti.adelite.com plasmamti.adelite.com
O1 - Hosts: 193.39.76.4 mti.adelite.com plasmamti.adelite.com 99mti.adelite.com[/CODE]
[/QUOTE]
Добавлял сам - нужное
Логи ниже
В логах ничего подозрительного.
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- Установите IE 8
Жалобы есть?
[QUOTE=Rene-gad;457076] Жалобы есть?[/QUOTE]
Вроде всё гуд
Спасибо
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\winnt\system32\e8main0.dll - [B]Trojan-GameThief.Win32.Magania.booz[/B] ( BitDefender: Gen:Trojan.Heur.Nsanti.eq6@bOYvSik, AVAST4: Win32:Kamso [Trj] )[/LIST][/LIST]