Был заражен, после лечения NOD-ом система перестала загружаться. К сожалению не я занимался восстановлением работоспособности системы, не могу точно сказать что с ним делали (если важно, могу уточнить). Предполагаю что до сих пор заражен.
Printable View
Был заражен, после лечения NOD-ом система перестала загружаться. К сожалению не я занимался восстановлением работоспособности системы, не могу точно сказать что с ним делали (если важно, могу уточнить). Предполагаю что до сих пор заражен.
C:\WINDOWS\winstart.bat--это Вам знакомо?
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe','');
QuarantineFile('C:\WINDOWS\winlog.exe','');
QuarantineFile('E:\autorun.inf','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин
C:\WINDOWS\winstart.bat - мне незнаком, компьютер не мой, bat-ник внутри пустой, C:\WINDOWS\winlog.exe -100% вирус, E:\autorun.inf - на карантин не возьмется (простите забыл предупредить) защита от появления autorun. Через несколько минут выложу новые логи и мне к сожалению надо будет отъехать по работе
Файл сохранён как 100812_140317_Quarantine_4c63c6e5af027.zip
Размер файла 1241641
MD5 ebf4fd99860ed3d3a2c5630f9f45280a
Батник удалите, сделайте еще лог MBAM
[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]
C:\WINDOWS\winlog.exe--KIS 2009=Зловред Trojan-Spy.Win32.Delf.iwt; DrWEB 5.0=Зловред Trojan.Click.49652; VBA32=Зловред Trojan-Spy.Win32.Delf.iwt; BitDefender=Зловред Worm.Generic.240460; NOD32=Подозрение Win32/AutoRun.Delf.FR worm; Avast4=Зловред Win32:AutoRun-BFY [Wrm] (на 12.08.2010 14:12:30)
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\winlog.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте новый лог virusinfo_syscheck.zip
Простите MBAM выслать сегодня не успею, но обязательно вышлю скорее всего завтра, обновить его не удалось, проблемы с интернетом. На момент создания логов забыл удалить bat-ник простите, тороплюсь по работе. И огромное спасибо за помощь !!! И скрипт последний не выполнил, просмотрел, тороплюсь люди ждут, извините еще раз. Завтра всё исправлю
[QUOTE='mrak74;686844']И скрипт последний не выполнил, просмотрел, тороплюсь люди ждут, извините еще раз. Завтра всё исправлю[/QUOTE]
Тогда логи завтра сделайте, чтобы не было путаницы. Рецепт лечения выпишем исходя из их анализа.:)
Выполнил предыдущие скрипты и предписания, выкладываю новые логи.
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\USER~1.USE\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('C:\USB Disk Security.exe','');
DeleteService('esihdrv');
DeleteFile('C:\DOCUME~1\USER~1.USE\LOCALS~1\Temp\esihdrv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
end.[/CODE]
Если что попадет в карантин, то закачайте его.
Удалите в МВАМ
[CODE]Заражено файлов:
C:\ErdUndoCache\E00000C0 (Virus.Expiro) -> No action taken.
C:\ErdUndoCache\E000031E\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\ErdUndoCache\rp288\A0030322.exe (Adware.ADON) -> No action taken.
C:\ErdUndoCache\rp352\A0035924.exe (Virus.Expiro) -> No action taken.[/CODE]
Сделайте новый лог virusinfo_syscheck.zip и лог МВАМ
Новые логи.
Удалите в MBAM
[CODE]C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP360\A0036890.exe (Adware.ADON) -> No action taken.[/CODE]Больше плохого в логах не увидел.
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)[/QUOTE]Рекомендую это обновить
В MBAM удалил, систему обновлю. Спасибо большое за помощь !!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\winlog.exe - [B]Trojan-Spy.Win32.Delf.iwt[/B] ( DrWEB: Trojan.Click.49652, BitDefender: Worm.Generic.240460, AVAST4: Win32:AutoRun-BFY [Wrm] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]