help please
Printable View
help please
[url]http://virusinfo.info/showthread.php?t=1235[/url]
сделал все по правилам, только не прикрепляются файлы к сообщению, выдает ошибку загрузки(
-выложите всё в одном архиве на стороннем хостинге... ссылку сюда
вот логи
[url]http://ifolder.ru/5935962[/url]
[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]
получилось скачать?
-выполнить скрипт [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True)
TerminateProcessByName('c:\windows\system32\cssrss.exe');
QuarantineFile('H:\jiwsxh39.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\jiwsxh39.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\jiwsxh39.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\runas.exe','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\cssrss.exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys');
BC_DeleteFile('C:\WINNT\system32\amvo0.dll');
BC_DeleteFile('C:\WINNT\system32\amvo.exe');
BC_DeleteFile('C:\WINNT\system32\cssrss.exe');
BC_DeleteFile('C:\WINNT\system32\amvo1.dll');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\jiwsxh39.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\jiwsxh39.exe');
BC_DeleteFile('H:\autorun.inf');
BC_DeleteFile('H:\jiwsxh39.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code] ...карантин на [url]http://virusinfo.info/upload_virus.php?tid=20653[/url]
-[URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL] в HijackThis строки
[code]O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINNT\system32\cssrss.exe
O4 - HKCU\..\Run: [amva] C:\WINNT\system32\amvo.exe[/code]
не выходит
Ошибка скрипта: ';' expected, позиция [4:2]
это может быть связано с вытаскиванием флешки?
[QUOTE=alexsmf;208294]
Ошибка скрипта: ';' expected, позиция [4:2]
это может быть связано с вытаскиванием флешки?[/QUOTE]
нет, точку с запяотй вирусом смыло ;)
Подправил скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\cssrss.exe');
QuarantineFile('H:\jiwsxh39.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\jiwsxh39.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\jiwsxh39.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\runas.exe','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\cssrss.exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys');
BC_DeleteFile('C:\WINNT\system32\amvo0.dll');
BC_DeleteFile('C:\WINNT\system32\amvo.exe');
BC_DeleteFile('C:\WINNT\system32\cssrss.exe');
BC_DeleteFile('C:\WINNT\system32\amvo1.dll');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\jiwsxh39.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\jiwsxh39.exe');
BC_DeleteFile('H:\autorun.inf');
BC_DeleteFile('H:\jiwsxh39.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделано, прислано, пофикшино.
что дальше?
[QUOTE=alexsmf;208310]Сделано, прислано, пофикшино.[/QUOTE]Ну и зоопарк насобирали - во всех 9 фалах - [B]Trojan-PSW.Win32.OnLineGames.yoi[/B] ! Логи повторите
откуда только они берутся(
вот новые логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\amvo0.dll');
DeleteFile('C:\WINNT\system32\amvo.exe');
DeleteFile('C:\WINNT\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINNT\system32\cssrss.exe');
DeleteFile('C:\jiwsxh39.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\jiwsxh39.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\jiwsxh39.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
принимайте
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFile(' C:\WINNT\system32\runas.exe ',' ');
end.[/CODE]
Карантин пришлите согласно приложению 3 правил.
в меню файл - просмотр карантина - папка от сегодня - пусто
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
скрытые файлы вижу. значит ли это что вирус побежден?
Запустите поиск через AVZ
[quote]скрытые файлы вижу. значит ли это что вирус побежден?[/quote]
Похоже, но необходимо убедиться
Простите, а что собственно искать?
:)
Ищите при помощи AVZ [b]runas.exe[/b] и пришлите по правилам на иследование.
пишет: Ошибка карантина файла, попытка прямого чтения (runas.exe)
Карантин с использованием прямого чтения - ошибка
карантин пуст.
-а если такой[code]begin
BC_QrFile('C:\WINNT\system32\runas.exe');
BC_ImportQuarantineList
BC_Activate;
RebootWindows(true);
end.[/code]