Здравствуйте.
Помогите полечить ноутбук.
стоял НОД3. Пропал интернет.
После проверки каспером и AVZ инет появился, но повторные проверки все равно находят несколько зараз. Заражает флешки.
Printable View
Здравствуйте.
Помогите полечить ноутбук.
стоял НОД3. Пропал интернет.
После проверки каспером и AVZ инет появился, но повторные проверки все равно находят несколько зараз. Заражает флешки.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe','');
QuarantineFile('c:\windows\system32\snmp.exe','');
TerminateProcessByName('c:\windows\system32\xp-c3ac46db.exe');
QuarantineFile('c:\windows\system32\xp-c3ac46db.exe','');
DeleteFile('c:\windows\system32\xp-c3ac46db.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe');
DeleteFile('F:\autorun.inf');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Повторите логи AVZ, а также сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]гмер[/URL].
Все описанное выполнил.
GMER нанашел какой-то руткит.
Флешки больше не заражает.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service kepdtfs
gmer.exe -del file "C:\WINDOWS\system32\hvcfa.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kepdtfs"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kepdtfs"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
скрипт выполнил. признаков заражения больше не видно.
В логе чисто, жалобы есть?
Пока отклонений не увидел. Все работает.
Большое спасибо за помощь. )
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\hvcfa.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AB worm, AVAST4: Win32:Confi [Wrm] )[*] c:\windows\system32\hv-1e60f.exe - [B]Trojan.Win32.FlyStudio.ll[/B] ( DrWEB: Trojan.Siggen.3067, BitDefender: Trojan.Generic.IS.551489, NOD32: Win32/FlyStudio.NOU trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\hx-67e30.exe - [B]Trojan.Win32.FlyStudio.ll[/B] ( DrWEB: Trojan.Siggen.3031, BitDefender: Trojan.Generic.2348326, NOD32: Win32/FlyStudio.NPD trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\vt-7326.exe - [B]Trojan.Win32.FlyStudio.ll[/B] ( DrWEB: Trojan.Siggen.3031, BitDefender: Trojan.Generic.2348326, NOD32: Win32/FlyStudio.NPD trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\vt-7626.exe - [B]Trojan.Win32.FlyStudio.ll[/B] ( DrWEB: Trojan.Siggen.3067, BitDefender: Trojan.Generic.IS.551489, NOD32: Win32/FlyStudio.NOU trojan, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]