Принесли комп на лечении, прогнал CureIt с LiveCD, нашел кучу вирей, но не все. В данным момент постоянно отключается редактирование реестра (HJT не помогает, отключается снова), проблемы с запуском AVZ&HJZ
Printable View
Принесли комп на лечении, прогнал CureIt с LiveCD, нашел кучу вирей, но не все. В данным момент постоянно отключается редактирование реестра (HJT не помогает, отключается снова), проблемы с запуском AVZ&HJZ
[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
У вас поражение файловым вирусом.
Методика лечения описана здесь:
[url]http://virusinfo.info/showthread.php?t=15927[/url].
Делайте тщательно, это очень живучая зараза.
Не забудьте про съемные носители!
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
После того, как пролечитесь:
1. Скачайте заново AVZ и HijackThis.
2. Обновите базы AVZ.
3. Выполните скрипт в AVZ:
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
4. Сделайте новые логи по правилам.
5. Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
проверял с Drweb LiveCD, вот логи
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC3A322132}');
QuarantineFile('c:\Driver\Files\driver.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\qhpinn.sys');
DeleteFile('C:\WINDOWS\system32\svchost');
DeleteFile('c:\Driver\Files\driver.exe');
DeleteFileMask('c:\Driver', '*.*', true);
DeleteDirectory('c:\Driver');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service exvzdqge
gmer.exe -del service mqzlothrx
gmer.exe -del service oczbzv
gmer.exe -del service tyzgdyyhn
gmer.exe -del file "C:\WINDOWS\system32\ntrziv.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\exvzdqge"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mqzlothrx"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oczbzv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tyzgdyyhn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\exvzdqge"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mqzlothrx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oczbzv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tyzgdyyhn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\exvzdqge"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mqzlothrx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\oczbzv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tyzgdyyhn"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделайте новые логи + новый лог gmer
Файл сохранён как 091105_124045_virus_4af29d9db924e.zip
Размер файла 604MD574bd215030e20f3289477bd703808f43
Карантин отправил. Во время выполнения батника комп вырубился, потом прошла проверка чекдиска, и при загрузке винда ругалась: система восстановлена после серьезной ошибки. На всякий случай еще раз прогнал батник, все нормально вроде прошло. Выкладываю логи.
В логах все нормально, только вот это:
[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
Вы после лечения файлового вируса AVZ скачивали повторно, или используете пролеченный DrWeb'ом?
Какие-нибудь проблемы еще наблюдаются?
AVZ скачивал повторно, проблем не наблюдается
Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
Спасибо, тему можно закрывать
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]