Компьютер в зараженной сетке. Естественно было обнаружено....
Хотелось бы подчистить.
Printable View
Компьютер в зараженной сетке. Естественно было обнаружено....
Хотелось бы подчистить.
- [b]Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.[/b]
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
[b]- [url="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление[/url]!!! Это ВАЖНО![/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\RAZLOG\zaljubljeni.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RAZLOG\zaljubljeni.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи к новому сообщению в этой ветке.
Вот это [CODE]E:\RAZLOG\zaljubljeni.exe[/CODE]по-моему отсюда
[url]http://virusinfo.info/showthread.php?t=70080[/url]
завтра посмотрим.
Вот новые логи. Сделал что смог. Карантина нет.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9368761307-3117200117-327244145-1170\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9368761307-3117200117-327244145-1170\nissan.exe');
DeleteFile('E:\autorun.inf');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]-В обязательном порядке [url="http://support.microsoft.com/kb/950717/ru"]установите Сервис Пак 3[/url][/b] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [url="http://update.microsoft.com"]обновления системы Windows[/url] и используемых программ.
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи к новому сообщению в этой ветке.
Карантин отправлен:
[CODE]Файл сохранён как 100224_120516_virus_4b84ebcc7f934.zip
Размер файла 121513
MD5 76ab975cbbda2b12fb73cac1779dab0b[/CODE]
(Пока нет возможности установить SP3 и т.д.)
Логи...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-9368761307-3117200117-327244145-1170\nissan.exe - [B]P2P-Worm.Win32.Palevo.qqy[/B] ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:Malware-gen )[/LIST][/LIST]