Printable View
Здравствуйте!
Поймал вирус Beagle. Вирус естественно убил ESET Nod32. Антивирусы не ставятся. Безопасный режим восстановил, просканил CureIT - он вроде нашел Beagle, удалил, но в обычном режиме антивирусы не запускаются и не ставятся. Запустил полиморфный AVZ и сделал логи. Помогите удалить заразу...
Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL]. В меню драйверов правой кнопкой по [B]wfsintwq[/B] и выберите "Turn Run Off". Перезагрузку подтвердите.
Лог работы OSAM запакуйте и прикрепите к своему сообщению
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Логи сделал. После отключения драйвера смог установить антивирус MSE (и он без проблем обновился, что уже радует). Сейчас в MSE поставил проверку...
Пациент, думаю, идет на поправку...
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
QuarantineFile('c:\windows\system32\dllcache\wamps51.dll','');
QuarantineFile('c:\windows\system32\drivers\81969024.sys','');
QuarantineFile('C:\WINDOWS\system32\midimap.dll','');
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
end.[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Карантип отправил, ток в него почему то попал один только файл 'C:\WINDOWS\system32\midimap.dll'...
Файл чистый
Эти файлы и папку (%appdata% это Application Data)
[QUOTE]c:\windows\system32\%appdata%
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\ACCOUNT.~FLB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\Account.CFN
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\ACCOUNT.FLB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\ACCOUNT.SRB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\Inbox\MESSAGES.TBB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Любовь\Inbox\MESSAGES.TBN
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\ACCOUNT.~FLB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\Account.CFN
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\ACCOUNT.FLB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\ACCOUNT.SRB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\Inbox\MESSAGES.TBB
c:\windows\system32\%appdata%\The Bat!\Спиридонова Тамара\Inbox\MESSAGES.TBN
c:\windows\system32\%appdata%\The Bat!\ACCOUNT.~FLB
c:\windows\system32\%appdata%\The Bat!\Account.CFN
c:\windows\system32\%appdata%\The Bat!\ACCOUNT.FLB
c:\windows\system32\%appdata%\The Bat!\ACCOUNT.SRB
c:\windows\system32\%appdata%\The Bat!\ADDRBOOK.INI
c:\windows\system32\%appdata%\The Bat!\CONFIG.CDB
c:\windows\system32\%appdata%\The Bat!\FolderTabs.CDB
c:\windows\system32\%appdata%\The Bat!\GROUPS.CFG
c:\windows\system32\%appdata%\The Bat!\IntermCA.ABD
c:\windows\system32\%appdata%\The Bat!\LDAP#1.ABD
c:\windows\system32\%appdata%\The Bat!\LDAP#2.ABD
c:\windows\system32\%appdata%\The Bat!\LDAP#3.ABD
c:\windows\system32\%appdata%\The Bat!\RootCA.ABD
c:\windows\system32\%appdata%\The Bat!\tbuser.DEF
c:\windows\system32\%appdata%\The Bat!\TheBat.ABD[/QUOTE]восстановите из карантина [url]http://virusinfo.info/showpost.php?p=514765&postcount=3[/url]
После этого [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]удалите ComboFix[/URL]
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
ComboFix удалил, почистил.
Свежие логи...
Создался также архив virusinfo_cure.zip. Его загрузить?
[QUOTE='Decoded;640239']Создался также архив virusinfo_cure.zip. Его загрузить? [/QUOTE]Не надо. Что с проблемами?
Антивирусы устанавливаются... Вирусная активность не проявляется. Просканил систему - ничего не нашли...
Вроде бы все.. Спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]