hXXp//thenuclearworldwar.com/usa.html - попался на ссылку или похожие, было несколько вариантов, теперь не могу избавиться от всяких adirka.exe или wincom32.sys.
.
Printable View
hXXp//thenuclearworldwar.com/usa.html - попался на ссылку или похожие, было несколько вариантов, теперь не могу избавиться от всяких adirka.exe или wincom32.sys.
.
Ссылка сама вставляестя в сообщение, плюс в процессах появились dd.exe и sm.exe.
dd.exe и sm.exe.- удалены скриптом лечения, теперь остаётся найти каким ветром их занесло :) Как говорил товарищ Горбунков : "Будем искать "
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctagent.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\sysreqlab.dll','');
QuarantineFile('aswRdr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aoiegtlp.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a6esowo0.SYS','');
QuarantineFile('C:\WINDOWS\System32\rsvp32_2.dll','');
QuarantineFile('C:\Program Files\Creative\ShareDLL\CADI\NotiMan.dll','');
QuarantineFile('c:\program files\asus\ai suite\ainap\ainap.exe','');
QuarantineFile('c:\windows\System32\Drivers\Parport.SYS','');
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Карантин прислал, правда только то что скрипт достал, перед этим я уже успел его отчистить от всяких dd и sm.
Большое спасибо, что откликнулись..
Ссылка всё равно вылазит....
C:\WINDOWS\System32\rsvp32_2.dll - Win32.Dref (по DrWeb)
Пришли не все запрошенные файлы. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\aoiegtlp.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a6esowo0.SYS','');
QuarantineFile('c:\windows\System32\Drivers\Parport.SYS','');
DeleteFile('C:\WINDOWS\System32\rsvp32_2.dll');
ExecuteSysClean;
AutoFixSPI;
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ, как написано в прил.3 правил.
После его удаления может инета не быть. Поэтому надо будет выполнить скрипт под номером 14 и перезагрузку , а если не поможет то под номером 15 и перезагрузку .Скрипты находятся в авз - файл- восстановление системы
Да инета именно не стало. Но это к сожалению произошло раньше чем вы написали сообщение и поэтому пришлось разбираться через смарт. Карантин залил.
Приношу свои извинения за пропажу инета. В карантин попал только c:\windows\System32\Drivers\Parport.SYS - он не является вирусом. Сделайте, пожалуйста, новые логи (п.п. 8 - 13 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL])
Записал логи. Нужно ли что то делать с parport.sys? Например вернуть из карантина или что нибудь подобное, я не в курсе как работает этот механизм.
Ничего не нужно восстанавливать, потому что ничего не было удалено - файл был просто скопирован в карантин.
В программе Hijackthis пофиксите строчку [code]O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/code] На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearQuarantine;
QuarantineFile('\SystemRoot\System32\Drivers\abxaohu0.SYS','');
QuarantineFile('\SystemRoot\System32\Drivers\avlm1z7v.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=8436[/url]
И еще: если не жалко времени и не ограничены интернет-траффиком, выполните, пожалуйста, вот эту процедуру - [url]http://virusinfo.info/showthread.php?t=3519[/url]
Карантин записал, ещё раз спасибо.
К сожалению архив сбора подозрительных файлов занимает 44mb, а у вас там ограничение в 20, да и в инет сейчас выхожу по модему, так что отправить не смогу.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\rsvp32_2.dll - [B]Email-Worm.Win32.Zhelatin.al[/B] (DrWEB: Win32.Dref)[/LIST][/LIST]