help please
Printable View
help please
[url]http://virusinfo.info/showthread.php?t=1235[/url]
сделал все по правилам, только не прикрепляются файлы к сообщению, выдает ошибку загрузки(
-выложите всё в одном архиве на стороннем хостинге... ссылку сюда
вот логи
[url]http://ifolder.ru/5935962[/url]
[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]
получилось скачать?
-выполнить скрипт [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True)
TerminateProcessByName('c:\windows\system32\cssrss.exe');
QuarantineFile('H:\jiwsxh39.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\jiwsxh39.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\jiwsxh39.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\runas.exe','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\cssrss.exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys');
BC_DeleteFile('C:\WINNT\system32\amvo0.dll');
BC_DeleteFile('C:\WINNT\system32\amvo.exe');
BC_DeleteFile('C:\WINNT\system32\cssrss.exe');
BC_DeleteFile('C:\WINNT\system32\amvo1.dll');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\jiwsxh39.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\jiwsxh39.exe');
BC_DeleteFile('H:\autorun.inf');
BC_DeleteFile('H:\jiwsxh39.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code] ...карантин на [url]http://virusinfo.info/upload_virus.php?tid=20653[/url]
-[URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL] в HijackThis строки
[code]O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINNT\system32\cssrss.exe
O4 - HKCU\..\Run: [amva] C:\WINNT\system32\amvo.exe[/code]
не выходит
Ошибка скрипта: ';' expected, позиция [4:2]
это может быть связано с вытаскиванием флешки?
[QUOTE=alexsmf;208294]
Ошибка скрипта: ';' expected, позиция [4:2]
это может быть связано с вытаскиванием флешки?[/QUOTE]
нет, точку с запяотй вирусом смыло ;)
Подправил скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\cssrss.exe');
QuarantineFile('H:\jiwsxh39.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\jiwsxh39.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\jiwsxh39.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\runas.exe','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\cssrss.exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
BC_QrFile('C:\WINNT\System32\Drivers\Tetri5.sys');
BC_DeleteFile('C:\WINNT\system32\amvo0.dll');
BC_DeleteFile('C:\WINNT\system32\amvo.exe');
BC_DeleteFile('C:\WINNT\system32\cssrss.exe');
BC_DeleteFile('C:\WINNT\system32\amvo1.dll');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\jiwsxh39.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\jiwsxh39.exe');
BC_DeleteFile('H:\autorun.inf');
BC_DeleteFile('H:\jiwsxh39.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделано, прислано, пофикшино.
что дальше?
[QUOTE=alexsmf;208310]Сделано, прислано, пофикшино.[/QUOTE]Ну и зоопарк насобирали - во всех 9 фалах - [B]Trojan-PSW.Win32.OnLineGames.yoi[/B] ! Логи повторите
откуда только они берутся(
вот новые логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\amvo0.dll');
DeleteFile('C:\WINNT\system32\amvo.exe');
DeleteFile('C:\WINNT\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINNT\system32\cssrss.exe');
DeleteFile('C:\jiwsxh39.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\jiwsxh39.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\jiwsxh39.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
принимайте
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFile(' C:\WINNT\system32\runas.exe ',' ');
end.[/CODE]
Карантин пришлите согласно приложению 3 правил.
в меню файл - просмотр карантина - папка от сегодня - пусто
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
скрытые файлы вижу. значит ли это что вирус побежден?
Запустите поиск через AVZ
[quote]скрытые файлы вижу. значит ли это что вирус побежден?[/quote]
Похоже, но необходимо убедиться
Простите, а что собственно искать?
:)
Ищите при помощи AVZ [b]runas.exe[/b] и пришлите по правилам на иследование.
пишет: Ошибка карантина файла, попытка прямого чтения (runas.exe)
Карантин с использованием прямого чтения - ошибка
карантин пуст.
-а если такой[code]begin
BC_QrFile('C:\WINNT\system32\runas.exe');
BC_ImportQuarantineList
BC_Activate;
RebootWindows(true);
end.[/code]
Так получилось, высылаю.
PS точку с запяотй вирусом смыло (c)
[quote=alexsmf;208938]Так получилось, высылаю.[/quote]-получилось, да не так... т.е. сам карантин то есть, но вот содержимого runas.exe в нем нет... ведь єтот скрипт даже C:\WINDOWS\explorer.exe в карантин помещает... ну, а это значит одно из двух, - либо runas.exe
уже нет по указанному адресу, либо он очень хорошо защищается от AVZ
[quote=alexsmf;208938] PS точку с запяотй вирусом смыло (c)[/quote]-пепел между клавиш попал (С) :)
в папке C:\WINNT\system32 есть runas.exe (
[QUOTE=alexsmf;208979]в папке C:\WINNT\system32 есть runas.exe ([/QUOTE]
так поместите же его в карантин ([URL="http://virusinfo.info/showthread.php?t=1235"]Правила Приложение 2[/URL]) и закачайте его ([URL="http://virusinfo.info/showthread.php?t=1235"]Правила Приложение 3[/URL])
ситуация следующая:
поместить в карантин runas.exe получается только выполнив последний скрипт, выслал его вам.
в папке system32 он до сих пор есть.
[QUOTE=alexsmf;209125]поместить в карантин runas.exe получается только выполнив последний скрипт, выслал его вам.
.[/QUOTE]
Файл в карантин не попал, попал только *.ini. Скопируйте файл куда-нибудь (напр. на десктоп) и закачайте согласно приложениям 2 и 3 Правил.
закачал файл runas.exe в архиве
[QUOTE=alexsmf;209155]закачал файл runas.exe в архиве[/QUOTE]Чистый он, оригинальный от Мелкомягких. Еще какие-то проблемы есть?
к сожалению да, amvo не изчез, опять не вижу скрытых файлов((
наверное все флешки были заражены. щас протестю антивирусом еще разок
как защитить комп от вируса на флешке?
[url]http://virusinfo.info/showthread.php?t=20291[/url]
еще раз выполнил первоначальные действия, вот логи.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\SANDRA.sys','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\mvxm.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
DeleteFile('C:\WINNT\system32\amvo.exe');
DeleteFile('C:\WINNT\system32\amvo0.dll');
DeleteFile('C:\WINNT\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mvxm.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mvxm.cmd');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\mvxm.cmd');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\mvxm.cmd');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Повторите логи.
новые логи
[QUOTE=alexsmf;209380]как защитить комп от вируса на флешке?[/QUOTE]запуститесь с Линукса-Live-CD (Knoppix, Mandriva etc.) и форматните все Ваши флешки под FAT32. Предварительно Вы можете перенести важную информацию напр. на компактдиск или чистую флешку.
[quote=Rene-gad;209472]запуститесь с Линукса-Live-CD (Knoppix, Mandriva etc.) [/quote]
простите за безграмотность, это как?
SANDRA.sys - это Вам знакомо? Остальных удалили. Кстати все новые. Вы отключали автозапуск с флешек?
[QUOTE=alexsmf;209474]простите за безграмотность, это как?[/QUOTE]скачиваем ISO-файл дистрибутива [url]http://www.knopper.net/knoppix-mirrors/index-en.html[/url] или [url]http://cgi.zdnet.de/c/?s=32&t=http%3A%2F%2Fwww.zdnet.de%2Fdownloads%2Fprg%2Fe%2Fn%2FdeVCEN_is-wc.html[/url] - язык системы можно выбрать при запуске, делаем компакт диск, вставляем в CD-драйв, перегружаемся, грузимся с CD, оказываемся в Линуксе, который этих зверей не боится.
Делаем , что надо, перегружаем ПК, загрузку с компактдиска не производим При этом запускается Винда, как обычно.
[QUOTE=wise-wistful;209479]SANDRA.sys - это Вам знакомо? [/QUOTE]
Угу, знакомо ;)
[url]http://www.softwaretipsandtricks.com/sys/1148-Sandrasys.html[/url]
sandra.sys не знакомо
не отключал, я их пока никуда в другие места не вставлял, они щас подключены к компу и тоже лечатся))
sandra.sys это вроде тест, или я ошибаюсь?
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
можно ли теперь считать вирус побежденным?
Я же говорил, то врагов в логах нет. Как система поживает?
Спасибо, ребята! Все хорошо!!!