AVZ смог запустить только полиморфный и из безопасного режима.
Логи прилагаются.
Printable View
AVZ смог запустить только полиморфный и из безопасного режима.
Логи прилагаются.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_Importall;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].
Загрузитесь в обычном режиме и повторите логи AVZ . AVZ запускайте обычный.
Карантин выслал.
Вот новые логи.
Базы AVZ обновить, логи переделать...
Обновил. Переделал.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aswArKrn');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YBBC4PWN\file[1].exe','');
QuarantineFile('C:\WINDOWS\system32\3d3234c.exe','');
QuarantineFile('4DMSG.DLL','');
QuarantineFile('c:\windows\expmodule.exe','');
QuarantineFile('C:\DOCUME~1\Spartak\LOCALS~1\Temp\aswArKrn.sys','');
QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
DeleteFile('C:\DOCUME~1\Spartak\LOCALS~1\Temp\aswArKrn.sys');
DeleteFile('C:\WINDOWS\system32\3d3234c.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3d3234c');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YBBC4PWN\file[1].exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteRepair(6);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Карантин выслал..Логи прилагаю
Выполните скрипт в avz с подключенной флэшкой
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделаете лог virusinfo_syscheck.
autorun.inf на ФЛЭХЕ, специально создан с помощью USBVaccine
Смотрю процессы по Ctrl+alt+Del что-то страшно всё ещё...
какие net1.exe итд...
отправляю опять логи
Выполните скрипт в avz [B]в безопасном режиме[/B]:
[code]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\net.exe','');
QuarantineFile('C:\WINDOWS\system32\net1.exe','');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите новый карантин по правилам.
Сделайте новый лог virusinfo_syscheck.
Загружаюсь под собой... Рабочий стол на месте
Загружаюсь под пользователем, который работает на этом компьютере - Рабочего стола нет!
Хмм, опять он на месте!
Попробуйте удалить файл
[B]C:\WINDOWS\system32\wmmest.dll[/B]
с помощью IceSword, как описано здесь:
[url]http://virusinfo.info/showthread.php?t=17228[/url]
Удалил... Перегрузился... Он опять на месте...
Удалил полностью из реестра ветку HKLM-Software-Microsoft-Windows NT-CurrentVersion-WinLogo2
После этого выполнил в AVZ скрипт с удалением файла...
Перзагрузился...
Вроде файлика нет страшного...
Лог прилагаю. Проверьте.
Зашел под необходимым пользователем.
Рабочий стол виден.
Но опять в процессах висят net.exe, net1.exe
Так что скажете по последним логм? Чисто?
Зловредов в логе не видно.
Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
Установите Internet Explorer 8.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.gwv[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.2522710, NOD32: Win32/AutoRun.FakeAlert.DF worm, AVAST4: Win32:Trojan-gen )[*] c:\windows\expmodule.exe - [B]Trojan.Win32.Agent.czho[/B] ( DrWEB: Trojan.DownLoad.40730 )[*] c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\ybbc4pwn\file[1].exe - [B]Trojan.Win32.Sasfis.pdr[/B] ( DrWEB: Trojan.Siggen.5073, BitDefender: Trojan.Dropper.Oficla.A, NOD32: Win32/Oficla.AT trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\msvcrt57.dll - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Packed.682, BitDefender: Trojan.Generic.IS.609958, AVAST4: Win32:Preald-AR [Drp] )[*] c:\windows\system32\wmmest.dll - [B]Trojan-Downloader.Win32.Small.kgl[/B] ( DrWEB: Trojan.DownLoad.40730, BitDefender: Trojan.Generic.2507160 )[/LIST][/LIST]