Подозрение на вирусы

Printable View

14.10.2010, 23:05
Stasenka_ru

Подозрение на вирусы

Добрый день!
Просьба помочь в решении проблемы - иногда возникает переадресация на непонятные сайты. CureIT нашел вирусы, но это не искоренило проблему.
15.10.2010, 03:33
Bratez

1. [b]Отключите восстановление системы![/b]

2. Скачайте [B]AVZ 4.35[/B] и обновите ее базы.

3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Nasty\Application Data\ygmdrm.exe','');
DeleteFile('C:\Documents and Settings\Nasty\Application Data\ygmdrm.exe');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web Engine','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\DwProt','EventMessageFile');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=89931[/url]).

5. Сделайте новые логи.
15.10.2010, 21:27
Stasenka_ru

Проверьте, думаю, уже чисто
16.10.2010, 03:14
Bratez

[QUOTE='Stasenka_ru;720956']думаю, уже чисто[/QUOTE]
К сожалению, нет.

Выполните скрипт в AVZ [B]в безопасном режиме[/B]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Nasty\Application Data\ygmdrm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Сделайте новый лог [I]virusinfo_syscure[/I] (п.1 Диагностики).
16.10.2010, 09:55
Stasenka_ru

ноый лог
16.10.2010, 13:51
Bratez

Теперь чисто. Но осталось два "но":

1. [QUOTE]Восстановление системы: включено[/QUOTE]
Отключите прямо сейчас, чтобы удалились точки восстановления с вашими троянами. Потом можно включить обратно.

2. [QUOTE]Версия Windows: 5.1.2600, Service Pack 2 ;[/QUOTE]
Это плохо. Настоятельно рекомендуется установить SP3 и последующие обновления.
17.10.2010, 19:35
Stasenka_ru

спс за совет
18.10.2010, 19:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\nasty\\application data\\ygmdrm.exe - [B]Trojan.Win32.Pincav.aiua[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Rimecud-G [Trj] )[/LIST][/LIST]