Printable View
повторил указания 15-го сообщения.....с обычным AVZ такая история...появляется окно на 2 секунды и сворачивается. Но сейчас я успел каким-то чудом нажать на выполнение скрипта №2 и он его в свернутом режиме выполнил, перезагрузил ноут, ......включил обычный обновленный AVZ, опять успел до сворачивания .... выполняю скрипт№3, посмотрел lostvolume висит((шлю повторно три лога, но выполнены они в обычном AVZ.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
CreateQurantineArchive(GetAVZDirectory+'susp.zip');
RebootWindows(true);
end.
[/code]
Файл susp.zip пришлите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B]
[B]Venus Doom[/B], делал все по схеме---успел-нажал, через обычный AVZ. Файл susp.zip отослал.
Подождем анализа файлов
[B]Venus Doom[/B], насколько долго ждать, дружище??? Вопрос такой еще...по запросу в яндексе вируса Trojan-Dropper.Win32.Clons.bjh выдает лабораторию каспера --новые вирусы. Может попробовать скачать пробную версию каспера 10 и попытаться снести этот вирус??? Как думаете есть смысл?? Ноут завтра нужен.....живой и здоровый((
Подождите пока
[B]Venus Doom[/B], ок)кстати, может вам пригодиться, зараза скорее всего пришла от Ортман лариса, тема письма -- Fwd: Сверка, акты и счет на оплату. и вложенный файл (и я повелся) ...файл то явно ехе-шный, весит 2 мб.
Ящик не нужно публиковать
ок
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\program files\fontsys.fon');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
DeleteFile('C:\Program Files\Services\mservice.exe');
DeleteFileMask('C:\Program Files\Services','*.*',true);
DeleteDirectory('C:\Program Files\Services');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
[B]Venus Doom[/B], шлю логи, пока та же картина.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
В HiJackThis пофиксите:
[code]
O4 - Startup: lostvolume.exe
[/code]
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('fontsys.fon');
QuarantineFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe','');
QuarantineFile('C:\Program Files\fontsys.fon','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe','');
QuarantineFile('C:\Program Files\Services\mservice.exe','');
DeleteFile('C:\Program Files\Services\mservice.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfdrivers');
DeleteFile('C:\Program Files\fontsys.fon');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
DeleteFile('C:\Program Files\dwFlags\RDPDD Chained DD.exe');
DeleteFileMask('C:\Program Files\Services','*.*',true);
DeleteDirectory('C:\Program Files\Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RDPDD Chained DD');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\lostvolume.exe');
BC_DeleteFile('C:\Program Files\Services\mservice.exe');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'new-quarantine.zip');
end.
[/code]
Файл карантина new-quarantine.zip пришли по ссылке вверху темы. Сделайте новые логи. отпишитесь о состоянии машины.
+ к [B]миднайт[/B]
Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
[B]миднайт[/B], Уважаемые, Миднайт и Venus Doom !
Благодарю за помощь и участие, но сейчас такая картина: долго ждал ответа на последнюю отправку логов, в результате скачал касперского 10 пробного (посколько поиск выдал знакомство его с данной заразой) после быстрой проверки он поудалял 6 троянов, в том числе убрал из автозагрузки lostvolume!!! из програм файл - фонтсизе, сервис, флаг и еще чего-то. Хочу просканировать комп полностью. Время позднее, завтра на работу, если проблема не решится завтра поднему эту тему, с вашего позволения еще раз. Пока вроде каспер работает, интернет работает, браузер работает, документы работают, единственная оставшееся от этой заразы -- проблема не открывается msconfig....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\главное меню\программы\автозагрузка\lostvolume.exe - [B]Trojan-Dropper.Win32.Clons.bjh[/B] ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )[*] c:\program files\fontsys.fon - [B]HackTool.Win32.Hidd.cc[/B] ( DrWEB: Trojan.MulDrop.31992, BitDefender: Trojan.Generic.2136392, NOD32: Win32/Delf.OKV trojan, AVAST4: Win32:Induc )[*] c:\program files\services\mservice.exe - [B]Trojan-Dropper.Win32.Clons.bjh[/B] ( DrWEB: Trojan.MulDrop.32194, AVAST4: Win32:Malware-gen )[/LIST][/LIST]