Здравствуйте, не могу отловить вирус.
Симптомы: блокирует антивирусы, меняет файл HOST, блокирует некоторые сайты, в основном ориентированные на борьбу с вирусами.
Printable View
Здравствуйте, не могу отловить вирус.
Симптомы: блокирует антивирусы, меняет файл HOST, блокирует некоторые сайты, в основном ориентированные на борьбу с вирусами.
Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Admin\oxpy.exe \u
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\oxpy.exe','');
TerminateProcessByName('c:\windows\system32\wiacmfgr.exe');
QuarantineFile('c:\windows\system32\wiacmfgr.exe','');
DeleteFile('c:\windows\system32\wiacmfgr.exe');
DeleteFile('C:\Documents and Settings\Admin\oxpy.exe');
BC_DeleteSvc('ICF');
ExecuteRepair(13);
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи после скрипта.
Прислать карантин по правой ссылке.
Карантин отправил, вот новые логи.
Новая парочка образовалась:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\a.dll','');
QuarantineFile('C:\WINDOWS\Temp\tmp263.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришли карантин по Правилам.
Карантин переделал, скрипт выполнил, тут новые логи.
'C:\WINDOWS\Temp\tmp263.exe' - этого у Вас что а/вирус съел?
До карантина он не доехал.
Через AVZ Файл - Мастер поиска и устранения проблем - Все проблемы исправить
>> Заблокированы настройки системы System Restore
выполнить скрипт:
[CODE]
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\DOCUME~1\Admin\LOCALS~1\Temp\a.dll', '')); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
RebootWindows(true);
end.[/CODE]
повторить станд. скрипт №2. Лог прислать.
Сделал
по мне, в логах чисто. Проблемы остались?
Проблем нет. Спасибо Вам огромное.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\oxpy.exe - [B]Backdoor.Win32.Cetorp.ak[/B] ( DrWEB: BackDoor.Tofsee )[*] c:\windows\system32\wiacmfgr.exe - [B]Trojan.Win32.Refroso.aodd[/B] ( DrWEB: BackDoor.IRC.Bot.217, BitDefender: Trojan.Agent.AOOA, AVAST4: Win32:Crypt-FVB [Trj] )[/LIST][/LIST]