win32/Daonol.BP

Printable View

11.03.2010, 13:08
new

win32/Daonol.BP

Здравствуйте, столкнулся с проблемой, не работал nod32. Выяснилось, есть файл C:\Documents and Settings\Dina\Local Settings\Temp\ooigx.tmp он определялся как вирус и помещался в карантин. В какой то момент карантин переполнился, и антивирус перестал работать. Скачал бесплатные Dr.Web CureIt! и Kaspersky Virus Removal Tool при сканировании тоже самое файл после удаления появляеться снова=(
Этот файл создаеться C:\WINDOWS\system32\winlogon.exe.
Менял winlogon.exe не помогло. Помогите.
11.03.2010, 15:02
DefesT

Здравствуйте
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('C:\DOCUME~1\Dina\LOCALS~1\Temp\ooigx.tmp 2nHAPKGEHD','');
QuarantineFile('C:\WINDOWS\poserv.exe','');
QuarantineFile('C:\Documents and Settings\Dina\ie_updates3r.exe','');
DeleteService('Google Online Services');
DeleteService('PO system service');
DeleteFile('C:\Documents and Settings\Dina\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\poserv.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\DOCUME~1\Dina\LOCALS~1\Temp\ooigx.tmp 2nHAPKGEHD');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
11.03.2010, 15:42
new

Выполнил скрипт. После перезагрузки nod смог удалить C:\Documents and Settings\Dina\Local Settings\Temp\OOIGX.TMP порожденный C:\WINDOWS\system32\wuauclt.exe
Больше в темпе нет этого файла.
Вот новые логи.
11.03.2010, 17:06
thyrex

Пофиксите в Hijack
[CODE]O20 - AppInit_DLLs: winmm.dll[/CODE]Больше ничего плохого

Установите [URL=" http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые заплатки
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL]
Установите [URL="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/URL] или удалите старый

E Вас был Kates. Настоятельно рекомендуется сменить [B]все[/B] пароли
11.03.2010, 17:10
new

Спасибо огромное за помощь :)
12.03.2010, 17:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]