Printable View
Несколько дней воюю с этой заразой-и все равно где-то сидит.Восстановление системы отключено,KAV,doctorVEB,что-то поудаляли,но какая-то гадость все равно появляется.Установил Outpost и заблокировал сайт 82,98,235,61-туда постоянно лезет Explorer.exe-похоже он заражен,а как его вылечить не знаю.Когда работаешь в осле так тот сразу тянет на errorsafe.Сейчас установил Firefox-хоть не рвется на этот гребаный сайт.[FONT=Arial]Помогите избавиться от этой заразы.
Файлы прилагаю.
[/FONT]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('awtuuss.dll','');
QuarantineFile('C:\WINDOWS\System32\qomnk.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
файлы отправленны
Попробуйте поискать файл 'awtuuss.dll' вручную, если найдется - пришлите по правилам.
Файл не найден.Найден в реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
Простите,пожалуйста,нужно бежать на работу.Отвечу завтра.Кстати в этом же разделе есть и qomnk.dll.
[B]qomnk.dll - Trojan.Virtumod.[/B]
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\qomnk.dll');
DeleteFile('awtuuss.dll');
DelWinlogonNotifyByFileName('qomnk.dll');
DelWinlogonNotifyByFileName('awtuuss.dll');
DelBHO('50BFBE09-6D1F-4354-ACD6-F24C8CAE4823');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки приложите к теме файл 'boot_clr.log' и сделайте новые логи.
Код выполнил,файлы прилагаю.
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строки [code]O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: (no name) - {C8B64C24-5CD9-4D46-836D-9F3FB2B6DBF8} - C:\WINDOWS\System32\qomnk.dll (file missing)
O20 - Winlogon Notify: awtuuss - C:\WINDOWS\
O20 - Winlogon Notify: qomnk - C:\WINDOWS\
[/code]
Сделано.
Я поискал файл hosts-а он отсутстует.Нужно ли его создать с помощью Hijackthis?
Лучше так: AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
ClearHostsFile;
end.[/code]. Файл hosts будет создан заново.
Hosts создал.
Я так понимаю-наша борьба с errorsafe закончена?
[URL="http://virusinfo.info/member.php?u=7996"]Bratez[/URL] с ним хорошо поборолся. Какие-нибудь симптомы заражения остались? На всякий случай, повторите логи, начиная с п.10 правил
[CODE]Какие-нибудь симптомы заражения остались?[/CODE]
Вроде бы нет.Логи сделал,прилагаю.
Огромное спасибо [SIZE=3][B]Numb [U][SIZE=2]и [/SIZE][/U][/B][B]Bratez [SIZE=2][FONT=Arial][FONT=Verdana]за оказанную помощь.[/FONT]
[/FONT][/SIZE][/B][/SIZE]
Если Нортона Антивируса нет, то можно профиксить. Какой-то остаток от него остался.
[CODE]O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll[/CODE]
Спасибо,[B]PavelA[/B],пофиксил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\qomnk.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.fl[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]