Printable View
Здраствуйте.
Никак не могу избавиться от вируса. Стал пропадать звук,через час полтора само закрывается соединение интернета,строка быстрого запуска меняет цвет,в папке system 32 появляются файлы типа 23.ехе. Нашел вирусы cibride32.exe/syre32.exe, удалил.Комп Немного поработал нормально потом все началось занова. Помогите пожалуйста.
Здравствуйте. Отключите восстановление системы.
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- пофиксите в Hijack следующие строки:
[CODE]O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - Startup: AutorunsDisabled
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
[/CODE]
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(5);
Executerepair(6);
Executerepair(8);
Executerepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
Сделайте лог MBAM
Профиксил,выполнил скрипт,сделал лог прикрепляю во время сканирования comodo обнаружил и удалил кучу файлов. После появилось сообщение что файлы sp3 замещены,требуется вставить диск.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [B]все найденное[/B]
Сделайте новый лог МВАМ и лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Все найденное МВАМ удалил логи прикрепил.
Что с проблемой после работы ComboFix?
Продолжают появляться приложения типа 03.exe в папках system 32 и Documents and Settings. Comodo пишет атака на переполнение буфера.Некоторые файлы пытаются подключиться к интернету.
Обновления, вышедшие после SP3, все установлены?
Нет.Обновлений не было. Автоматически с узла update не обновляются,скачал обновления с интернета. Установил, после установки ,перезагрузки и приветствия экран стал синим.Перезагрузил,запустил консоль воосстановления заработало.Что делать с файлами 06 30 34 60ехе в папке system 32?
[QUOTE='cenivirk;609894']Что делать с файлами 06 30 34 60ехе в папке system 32?[/QUOTE]Удалять
[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]
Лог ComboFix еще раз сделайте
ComboFix не запускается, переименовал в Combo-Fix все равно пишет нет прав доступа. После сам удаляется.
Еще раз лог МВАМ
Сделал. Сомоdо находит файл Heur.Suspicious@101963956. Это вирус?
Удалите в МВАМ все найденное.
Компьютер в локальной сети?
Выполните скрипт в AVZ
[code]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Все удалил. Скрипт сделал. Местная локалка ApexDC и µTorrent.
Вполне возможно зараза ломится из локальной сети. Что сейчас с проблемой?
Поглядел в папке system 32 нет больше файлов типа 06.ехе. Проблема появилась после того как начал качать файлы с µTorrent, наверно лучше удалить ее с компьютера.
Спасибо большое за помощь мучился месяц.
IMHO, регулярная установка обновлений безопасности на систему должна спасать от таких атак. А торрент виноват разве что тем, что машину в сети активно светит.
Спасибо. На будущее учтем.