-
Вирус... Помогите...
Схватил вирус... возможно с флешки, возможно с инета... когда обновлял компоненты NOD32. Вообщем нужна помощь.
То что пишет NOD32:
1)AMON файл D:\WINDOWS\system32\dllcache\zipexr.dll Win32/Agent.AEC троян изолирован - удален MOMON\Vova Событие при попытке доступа к файлу приложением D:\WINDOWS\system32\soundmix.exe.
2)D:\WINDOWS\system32\soundmix.exe Win32/Agent.AEC троян изолирован - удален (после следующего перезапуска) MOMON\Vova Событие при попытке доступа к файлу приложением D:\WINDOWS\Explorer.EXE.и
После ликвидации файлов, ни один exe фаи не открываеться... Вылазит окно, "Открыть с помощью..." =((
ПЫТАЛСЯ СКАЧАТЬ И СДЕЛАТЬ ЛОГИ С [URL="http://z-oleg.com/avz4.zip"][B]Антивирусную утилиту AVZ[/B][/URL]. , НО АНТИВИРУС СКАЗАЛ ЧТО ФАЙЛ ЗАРАЖЕН...
Я ОТКЛЮЧИЛ NOD32 И ПОПЫТАЛСЯ РАЗАРХИВИРОВАТЬ СКАЧЕННОЕ В ПАПКУ... фАЙЛА AVZ.EXE Я НЕ ОБНАРУЖИЛ.... =(((
Присоединил 1 лог (что смог сделать)
Помогите плиз
-
Скорее всего нод и удалил попробуйте еще раз
Интересно чем это avz заражена по версии нода?
-
Сейчас еще раз попробую....
Что вообще можно сделать?
-
у вас какие-то не правильные пчелы и они делают не правильный НОД ....(с) ;)
проверил ничего нод в авз не находит ...
-
Отключил NOD32 и запустил...Щас проверяю и готовлю лог...
Nod32 - я его уже ненавижу... Касперыч рулит)))
-
Есть смысл скачать на чистом компьютере [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url] и записать на CD. Проверить им весь зараженный компьютер.
Это сказано в пункте 2 Правил. Вы это не делали?
-
еще нет... щас заканчиваю последний лог....
Может это поможет.... Если нет, то воспользуюсь советом))))
А если удален soundmix.exe работа компьютера возможна в нормальном режиме???
Просто нод кикнул этот фаил(((
-
Есть трояны которые маскируются под soundmix.exe, а если файл был изначально нормальный и затем был заражен, то надо будет драйвер звука переустановить.
И еще cureit.exe лучше переименовать в cureit.zip распаковать его в папку и эту папку записывать на СD. Запускать _start.exe
-
спасибо..
Вот пока два лога(на третьем прога вызвала ошибку)
-
вот еще парочка)))
Помогите плиз)))
-
[quote=AndreyKa;161565]Есть смысл скачать на чистом компьютере [URL]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/URL] и записать на CD. Проверить им весь зараженный компьютер.
Это сказано в пункте 2 Правил. Вы это не делали?[/quote]
на данный момент проверяю компьютер... Web нашел довольно много вирусов((( Лечил...
Похоже здесь букет вирусов:mad:
-
Отключите восстановление системы!!
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
QuarantineFile('D:\WINDOWS\system32\wincab.sys','');
QuarantineFile('D:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('D:\WINDOWS\system32\amvo0.dll','');
DeleteFile('D:\WINDOWS\system32\amvo0.dll');
DeleteFile('D:\WINDOWS\system32\soundmix.exe');
DeleteFile('D:\WINDOWS\system32\wincab.sys');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\n1deiect.com');
DeleteFile('C:\autorun.inf ');
DeleteFile('D:\ntde1ect.com');
DeleteFile('D:\n1deiect.com');
DeleteFile('D:\autorun.inf ');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
BC_QrSvc('dfcvbnhjkl');
BC_DeleteSvc('dfcvbnhjkl');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
-
А еще вопросик...
Ваша Антивирусная утилита AVZ...
Если она предлагает удалить файл, то можно безпоследственно соглашаться?
P.S. Просто я её впервые вижу... =))
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=Bratez;161579]Отключите восстановление системы!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.[/quote]
ок! щас попробую)))
-
[quote]на данный момент проверяю компьютер... [/quote]
А логи тогда для чего делали?
-
[quote=Bratez;161582]А логи тогда для чего делали?[/quote]
Так он на проверке уже 351 раз.... Толку то мало...(((
-
Вроде выздоровел))))
Подтвердите))):rolleyes:
-
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\WINDOWS\','');
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
DeleteFile('D:\WINDOWS\');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
[/CODE]
3.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
-
Спасибо))) Как сделаю, отпишусь)))
-
[quote=zerocorporated;161600]
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[code]
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
[/code]
3.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/quote]
Скрипт выполнил... Логи прикрепил...
Только вот пофиксить не получилось... Те файлы(строки), которые вы указали - отсутствуют...
Что делать?:blink:
-
В логах чисто. Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
Page generated in 0.00042 seconds with 10 queries