... как бы я не удалял этот фай он снова и снова появляется в папке System32, изза него не ппашет нет (пишет привышен лимит TCP сесии):?
как можно от него избавится и как предостеречся?!..
Printable View
... как бы я не удалял этот фай он снова и снова появляется в папке System32, изза него не ппашет нет (пишет привышен лимит TCP сесии):?
как можно от него избавится и как предостеречся?!..
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\GAMES\CS16\42\Steam.exe','');
QuarantineFile('C:\WINDOWS\system32\adirss.exe','');
QuarantineFile('C:\WINDOWS\System32\logon.scr','');
QuarantineFile('C:\Program Files\AlaVyc\alavyc.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\server.url','');
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\WINDOWS\system32\lnwin.exe','');
QuarantineFile('C:\WINDOWS\system32\adirka.exe','');
QuarantineFile('c:\windows\system32\lnwin.exe','');
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
RebootWindows(false);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
не знаю отправил или нет, так как прогресса загрузки файла я не увидел!!! как узнать отправил или нет???.
В присланном
C:\WINDOWS\system32\adirss.exe - Trojan.Packed.61
C:\WINDOWS\system32\rsvp32_2.dll - Win32.Dref
C:\WINDOWS\system32\lnwin.exe - Trojan.Packed.56
C:\WINDOWS\system32\adirka.exe - Trojan.Packed.61
[QUOTE][SIZE="1"]AntiVir Found TR/Small.DBY.BG, WORM/Zhelatin.AL, TR/Small.DBY.AP
ArcaVir Found Trojan.W32.Lager.Dp62
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Peed.Gen, Trojan.Peed.GX, MemScan:Trojan.Peed.U
ClamAV Found Trojan.Small-1502
Dr.Web Found Trojan.Packed.61, Win32.Dref, Trojan.Packed.56
F-Prot Antivirus Found W32/Tibs.SY
F-Secure Anti-Virus Found Trojan-Downloader.Win32.Tibs.kc, Email-Worm.Win32.Zhelatin.al, Email-Worm.Win32.Zhelatin.bp
Fortinet Found PossibleThreat
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Tibs.kc, Email-Worm.Win32.Zhelatin.al, Email-Worm.Win32.Zhelatin.bp
NOD32 Found Win32/Nuwar.gen, Win32/TrojanProxy.Cimuz
Norman Virus Control Found W32/Tibs.UUH, W32/Tibs.gen63
Panda Antivirus Found W32/Nurech.H.worm, Trj/Alanchum.JF
VirusBuster Found Trojan.Zhelatin.A, Trojan.Tibs.Gen!Pac.74
VBA32 Found Adware.Sahat.14 (probable variant)[/SIZE][/QUOTE]
отправили, только 2 раза :)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\adirka.exe');
DeleteFile('c:\windows\system32\adirss.exe');
DeleteFile('c:\windows\system32\lnwin.exe');
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится и нарушится связь с интернетом.
Для исправления сделать так:
AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 ->
выполнить отмеченные операции. Перегрузиться.
Интернет должен восстановиться, если нет -
там же отметить п. 15 и выполнить. Перегрузиться.
Сделайте новые логи п.10 и 12 правил.
[QUOTE=drongo;101152]отправили, только 2 раза :)[/QUOTE]
если б два, а то пять раз...
сейчас буду еще раз сканировать, но аваст выбил при запуске системы wincom32.sys - ВИРУС!!!! что это?
Какой вирус? Что конкретно аваст написал? Если есть возможность скачайте куреит от доктора Вэба, просканируйте и выложите лог здесь.
По имени это скорее всего червь желатин, поймали из почты, запустив что-то похожее на postcards.exe
Выполните следующие рекомендации ЛК:
[QUOTE]Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать F8, затем выберать пункт Safe Mode в меню загрузки Windows).
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующие файлы:
%System%\alsys.exe
%System%\wincom32.ini
%System%\wincom32.sys
Удалить записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent" = "%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent" = "%System%\alsys.exe"
[/QUOTE]
После всего этого обязательно новые логи АВЗ
Записи в системном реестре удаляются так:
пуск-выполнить-regedit-enter-ищем в нужных ветках по указанному путь запись и если она есть, то удаляем.
вот только что зделал новые логи!
Ни намека на wincom32 не вижу. Вы его зачистили по совету Alex_Goodwin'a?
Насчет Adirka - еще один файлик остался, выполните скрипт:
[code]
begin
BC_DeleteFile('C:\WINDOWS\system32\adirka.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Прикрепите в тему файл 'boot_clr.log' из папки с AVZ.
В остальном, IMHO, логи чистые. Проблема еще как-то себя проявляет?
пока никак!!! спасибо
вот файл
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\adirka.exe - [B]Trojan-Downloader.Win32.Tibs.kc[/B] (DrWEB: Trojan.Packed.63)[*] c:\\windows\\system32\\adirss.exe - [B]Trojan-Downloader.Win32.Tibs.kc[/B] (DrWEB: Trojan.Packed.63)[*] c:\\windows\\system32\\lnwin.exe - [B]Email-Worm.Win32.Zhelatin.bp[/B] (DrWEB: Trojan.Packed.60)[*] c:\\windows\\system32\\rsvp32_2.dll - [B]Email-Worm.Win32.Zhelatin.al[/B] (DrWEB: Win32.Dref)[/LIST][/LIST]