Нужна помощь

Printable View

18.07.2010, 19:09
rackin

Нужна помощь

На компьютере постепенно всё труднее стал запускаться IE,вплоть до полной невозможности запуска.При проверке Avira было выявленно аж 47 вирусов!!!Каждый раз при выключении компьютера появляется сообщение об установке двух обновлений.
Необходимые согласно правил логи выполнил и прилагаю:
18.07.2010, 20:58
thyrex

C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Caleni\uromo.exe - файл знаком?

Пофиксите в HiJack
[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Programme\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho1A.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOKUME~1\Julia\LOKALE~1\Temp\b.exe','');
QuarantineFile('C:\DOKUME~1\Julia\LOKALE~1\Temp\256.tmp','');
DelBHO('{D032570A-5F63-4812-A094-87D007C23012}');
QuarantineFile('C:\WINDOWS\system32\iebho1A.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Dokumente und Einstellungen\Julia\Desktop\a.exe','');
DeleteFile('C:\Dokumente und Einstellungen\Julia\Desktop\a.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\WINDOWS\system32\iebho1A.dll');
DeleteFile('C:\DOKUME~1\Julia\LOKALE~1\Temp\256.tmp');
DeleteFile('C:\DOKUME~1\Julia\LOKALE~1\Temp\b.exe');
DeleteFile('%windir%\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
DeleteFile('%windir%\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
19.07.2010, 19:38
rackin

Извините, но нет возможности находиться постоянно у компьютера.
Карантин пуст.
Логи высылаю.
19.07.2010, 19:45
thyrex

Про это я у себя спрашивал???
[QUOTE='thyrex;672225']C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Caleni\uromo.exe - файл знаком?[/QUOTE]
19.07.2010, 19:55
rackin

Не очень понял, но, надеюсь, что после предпринятых действий, компьютер чист?
19.07.2010, 20:33
thyrex

Этот файл Вы сами записывали на компьютер или какая-либо из установленных Вами программ? Что тут еще может быть непонятного
19.07.2010, 22:33
rackin

Понятия не имею,открывал папку Caleni,она пуста.Фаил uromo.exe отсутствует.
19.07.2010, 23:22
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Caleni\uromo.exe','');
DeleteFile('C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Caleni\uromo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{E06F2ED6-6D5D-4288-E4E8-1115EC19D196}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
20.07.2010, 18:29
rackin

Выполнено
20.07.2010, 18:36
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
20.07.2010, 18:53
rackin

Выполнил
20.07.2010, 18:57
polword

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
20.07.2010, 19:03
rackin

Я так понимаю, что весь файл, кроме заголовка, и есть скрипт?
20.07.2010, 19:07
polword

да
20.07.2010, 19:34
rackin

Премного благодарен!
21.07.2010, 19:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]