Ни НОД, ни Launch в безопасном режиме не помогли.
Постоянно (с интервлом 20 сек) идет обращение к флоппику, если вставить дискету, то НОД удаляет Win/AutoRun.FakeAlert.AF червь.
То же самое с флэшками.
Printable View
Ни НОД, ни Launch в безопасном режиме не помогли.
Постоянно (с интервлом 20 сек) идет обращение к флоппику, если вставить дискету, то НОД удаляет Win/AutoRun.FakeAlert.AF червь.
То же самое с флэшками.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DeleteService('RT2500USB');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rt2500usb.sys','');
DeleteService('GT680x');
QuarantineFile('C:\WINDOWS\system32\Drivers\gt680x.sys','');
DeleteService('fvdscsi');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fvdscsi.sys','');
DeleteService('fcdabus');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys','');
QuarantineFile('c:\windows\system32\bgsvcgen.exe','');
QuarantineFile('c:\program files\ati technologies\ati.ace\cli.exe','');
QuarantineFile('c:\program files\rsprint\printmon.exe','');
QuarantineFile('c:\documents and settings\admin\application data\ablebook\diskcontrol.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\fvdscsi.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\gt680x.sys');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Повторить логи
вот повторные логи после выполнения скрипта
заражение прекратилось
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\explore.exe','');
DeleteFile('C:\WINDOWS\system32\explore.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NewLife');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Закачайте карантин. Пофиксите Hijackthis
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [NewLife] C:\WINDOWS\system32\explore.exe[/code]
Повторите логи
пофиксить
O4 - HKLM\..\Run: [NewLife] C:\WINDOWS\system32\explore.exe
не удалось, этой строчки не было.
Хотя в предыдущем логе она была.(!?)
Новые логи приложены
Не было - это хорошо, значит АВЗ ее почистил. Тулбары ASK и Poker вам нужны? Можно удалить. Какие-то проблемы на компьютере присутствуют?
Спасибо!
Все нормально
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.Bezopi.qp[/B] ( DrWEB: Win32.HLLW.Autoruner.6326 )[/LIST][/LIST]