Пустой рабочий стол.

Printable View

16.08.2010, 10:27
Tsyn

Пустой рабочий стол.

Здравствуйте!
Вирус удалил проводник Windows. После запуска ОС отображается только пустой экран. В ручную включается диспетчер задач. Сам экзешник Explorer-a я найти не смог, по ходу вирус его удалил совсем. Пользуюсь Total Comander. AVPTool ничего не нашел.[U][B][/B][/U][B][URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"] [/URL][/B][U][B]
[/B][/U]При подготовке логов не смог настроить интернет. Да и вообще без проводника как то не очень что то настроишь.
С уважением, Александр.
16.08.2010, 10:29
Tsyn

А вот и логи.
16.08.2010, 11:19
polar_owl

Здравствуйте!
Сообщение из лога:
[B]Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B]

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-B01C46E6.EXE','');
DeleteFile('C:\WINDOWS\system32\XP-B01C46E6.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.

Файл [B]Explorer.exe[/B] скопируйте с другого компьютера с такой же версией Windows или восстановите с дистрибутива.
(Должен лежать в C:\WINDOWS\)

Повторите логи.
16.08.2010, 12:44
Tsyn

Сначала восстановил Explorer... с ним гораздо удобнее.
Карантин отправил, логи обновил.
16.08.2010, 13:03
polar_owl

В карантин ничего плохого не попало. Зато, после обновления, обнаружилось еще кое-что.

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory + 'virus.zip');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\muis\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\muis\svchost.exe','');
DeleteFile('C:\WINDOWS\muis\svchost.exe');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.
Повторите логи.
16.08.2010, 13:37
Tsyn

Карантин отправил. Сейчас повторю логи.
16.08.2010, 14:00
Tsyn

Вот и новые логи.
16.08.2010, 16:19
polar_owl

Был пойман:[B]c:\windows\muis\svchost.exe [/B]-- [B]Worm.Win32.Agent.zx [/B]

Выполните в AVZ скрипт:
[CODE]begin
DeleteFile(GetAVZDirectory + 'virus.zip');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
end.[/CODE]
Затем выполните инструкцию, описанную в первом сообщении здесь:[url]http://virusinfo.info/showthread.php?t=3519[/url]
Результат загрузки архива сообщите.
16.08.2010, 17:46
Tsyn

Результат загрузки
Файл сохранён как 100816_170152_virusinfo_files_VITAL_4c6936c0310b8.zip
Размер файла 23687705
MD5 773f7a9b39da1e31cd1aa9660837ec21

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

Благодарю за помощь! Сам бы не справился.

[size="1"][color="#666686"][B][I]Добавлено через 42 минуты[/I][/B][/color][/size]

Результаты обработки
Архив 100816_170152_virusinfo_files_VITAL_4c6936c0310b8. zip, загружен 16.08.2010 17:10:59, размер 23687705 байт
Всего файлов: 52 (исполняемых 52), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 51
обычный приоритет: 0

[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]

В общем то еще благодарю за хороший труд!!!
16.08.2010, 18:12
polar_owl

Это еще не все...
Самое главное:
Нужно поставить SP3 (может потребоваться активация) + последующие обновления.
Обновить IE до 8 версии (даже если не пользуетесь).
Поставить Acrobat 9.3 или удалить старый.
Обновить Java, если не обновлено.

Иначе будете частым клиентом у нас;)
17.08.2010, 18:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\muis\\svchost.exe - [B]Worm.Win32.Agent.zx[/B] ( DrWEB: Trojan.MulDrop.33006, BitDefender: Trojan.Generic.3064505, NOD32: Win32/Delf.NQN worm, AVAST4: Win32:Delf-NZD [Trj] )[/LIST][/LIST]