Если это другая машина, то создавайте новую тему.
Printable View
Если это другая машина, то создавайте новую тему.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wmslives.exe');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
TerminateProcessByName('c:\documents and settings\localservice\localservice.exe');
TerminateProcessByName('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe');
StopService('MRSVSS Service');
QuarantineFile('c:\windows\wmslives.exe','');
QuarantineFile('C:\WINDOWS\system\mrsvss.exe','');
QuarantineFile('c:\documents and settings\localservice\localservice.exe','');
QuarantineFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe','');
DeleteService('MRSVSS Service');
DeleteFile('c:\windows\wmslives.exe');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
DeleteFile('c:\documents and settings\localservice\localservice.exe');
DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MRSVSS Service');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
[QUOTE=Aleksandra;423585]Если это другая машина, то создавайте новую тему.[/QUOTE]Это та же машина 8)
При запуске копьютера пишет dos-... ( не помню что тут ) создают файл load 2.
[QUOTE=lordenas;423590]При запуске копьютера пишет .[/QUOTE]Кто пишет? Вы загрузиться можете? Если да - выполняйте скрипт. Если нет - попробуйте загрузиться в безопасном и выполнить скрипт оттуда.
нет появляться командная строка и писало, что неверный файл, что то вроде этого, ip из букв, и выбор пропустить или отменить, я нажал отменить. Скрипт выполняется нормально. И в моём компьютере появился раздел Веб папки. И мозила запускается в безопасном режиме это нормально?
[QUOTE=lordenas;423597]нет появляться командная строка и писало, что неверный файл, что то вроде этого, ip из букв, и выбор пропустить или отменить, я нажал отменить.[/QUOTE]Скопируйте или сделайте скриншот этого загадочного сообщения.
[QUOTE]в моём компьютере появился раздел Веб папки. [/QUOTE]
[url]http://support.microsoft.com/?scid=kb%3Ben-us%3B195851&x=16&y=13[/url]
[QUOTE]И мозила запускается в безопасном режиме это нормально?[/QUOTE]А почему Модзилла не должна запускаться в безопасном режиме?
Выполните скрипт
[CODE]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RebootWindows(true);
end.[/CODE]
После перезагрузки логи начиная от п.2 диагностики повторите
Больше это сообщение не появлялось... Скажите если я не сохраняю пароли для сайтов в браузере их могли вытащить?testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest аааа это только что написал вирус честно писал сообщение и начал ктото писать этоэто через доступ веб папки новерно :)))
[QUOTE=lordenas;423679]
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest аааа это только что написал вирус )[/QUOTE]Для кого пишем?[QUOTE]Закройте/выгрузите все программы кроме AVZ и Internet Explorer.[/QUOTE]
Если у Вас остался Ворд или др. текстовый редактор открытым, то АВЗ генерирует в нем такие строчки.
Какие еще проблемы?
ну я откуда знал)) я испугался)) Извиняюсь... мне повторить логи? Проблем больше не каких спб
[QUOTE=lordenas;423682]ну я откуда знал)) [/QUOTE]Так написали же и в правилах, и лично: [COLOR="Red"][SIZE="4"]Закройте/выгрузите все программы кроме AVZ и Internet Explorer. [/SIZE][/COLOR]Неужели еще вопросы возникают? :O
Нет... Не возникают) А что за доступ веб папки объясните пожалуйста?
[QUOTE=lordenas;423684]А что за доступ веб папки объясните пожалуйста?[/QUOTE]Ссылка в сообщении #26 :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]51[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\localservice.exe - [B]Trojan-Downloader.Win32.Agent.cgox[/B] ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )[*] c:\documents and settings\lord^\local settings\temporary internet files\content.ie5\w96n4xqj\m[1].exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\documents and settings\lord^\lord^.exe - [B]Trojan-Downloader.Win32.Agent.cgox[/B] ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )[*] c:\pac.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[*] c:\windows\system\mrsvss.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[*] c:\windows\system\mrsvss.exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\system32\23.scr - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\tstray.exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\vmnat.exe - [B]Backdoor.Win32.SdBot.nhv[/B][*] c:\windows\wmslives.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[/LIST][/LIST]