Подхватил по асе :( Помогите вылечить(
Printable View
Подхватил по асе :( Помогите вылечить(
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
QuarantineFile('sockspy.dll', '');
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
QuarantineFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll','');
QuarantineFile('c:\windows\mprx.exe','');
CreateQurantineArchive(GetAVZDirectory+'8603_quarantine.zip');
end.
[/code]
Включите антивирус.
Загрузите файл 8603_quarantine.zip из папки AVZ, используя [url=http://virusinfo.info/upload_virus.php?tid=8603]эту ссылку[/url].
отправил
Trojan.Goldun.DQ, скорее всего, обитал в файле C:\WINDOWS\system32\browsemu.dll. Этого файла уже нет. На что теперь ругается антивирус?
Кстати их у вас 2 - BitDefender и NOD32. Ни в коем случае не запускайте два разных антивирусных монитора файловой системы!
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll');
ExecuteSysClean;
DelCLSID('00534B55-3155-CA4F-B41D-0E922121D03C');
DelCLSID('C08DF07A-3E49-4E25-9AB0-D3882835F153');
RebootWindows(False);
end.
[/code]
Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
Еще один вопрос.
Прокси сервер c:\windows\mprx.exe вы сами установили?
Нет, прокси я никакие не ставил.
Сейчас вроде бы всё нормально, но когда я удалил Bitdefender`ом файл
browsemu.dll и снова запустил Explorer, Bitdefender опять стал ругаться на этот троян, сохраняя какие-то файлы в папке temp, ну как это обычно бывает. Я подумал, что проблема не решена и решил обратиться к вам.
У меня стоит на самом деле только Bitdefender, а Nod32 как-то неудачно удалён что ли...
Ответ ЛК насчет mprx.exe:
[QUOTE]avz00002.dta - not-a-virus:Server-Proxy.Win32.Mprx.a
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.[/QUOTE]
Выполните скрипт:
[code]
begin
BC_DeleteSvc('mprx');
BC_DeleteSvc('NOD32krn');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Пофиксите в HijackThis:
[code]
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
[/code]
Прикрепите файл 'boot_clr.log' из папки с AVZ.
Всё сделал, но файл 'boot_clr.log' не появился в папке с avz.
Тогда сделайте новые логи п.10 и 12 правил.
Выполнил.
AVZ -> Файл -> Выполнить скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XRegLib.dll','');
QuarantineFile('E:\Multilex 4.0 de\hkml_srv.exe','');
QuarantineFile('E:\Program Files\Duden\PCLib.exe','');
QuarantineFile('___synmgr.exe','');
QuarantineFile('C:\WINDOWS\___synmgr.exe','');
CreateQurantineArchive(GetAVZDirectory + 'virusinfo_8603_quarantine.zip');
RebootWindows(false);
end.[/CODE]
После перезагрузки, в папке AVZ найдите файл [B]virusinfo_8603_quarantine.zip[/B] и пришлите его нам через [URL="http://virusinfo.info/upload_virus.php?tid=8603"]эту форму[/URL].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\mprx.exe - [B]not-a-virus:Server-Proxy.Win32.Mprx.a[/B] (DrWEB: Program.Proxy.Mprx)[/LIST][/LIST]