Вирусы

Printable View

19.09.2009, 18:13
Ромка

Вирусы

Все сделал как написано
Еще и фаер подключил
19.09.2009, 18:28
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('D:\RECYCLER\S-1-5-21-7428950520-7266727536-653581724-8045\csvcs.exe,D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe,explorer.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe','');
DeleteService('heirxdnw');
DeleteService('ComServices');
QuarantineFile('D:\WINDOWS\System32\Drivers\heirxdnw.sys','');
QuarantineFile('d:\windows\system32\com\comservices.exe','');
TerminateProcessByName('d:\windows\system32\com\comservices.exe');
DeleteFile('d:\windows\system32\com\comservices.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\heirxdnw.sys');
DeleteFile('D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-7428950520-7266727536-653581724-8045\csvcs.exe,D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe,explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=55128[/url]

3. Повторите логи.
19.09.2009, 18:29
PavelA

Александра! Извини, но уже написал.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\RECYCLER\S-1-5-21-7428950520-7266727536-653581724-8045\csvcs.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe','');
QuarantineFile('D:\WINDOWS\System32\com\ComServices.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\heirxdnw.sys','');
DeleteFile('D:\RECYCLER\S-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-7428950520-7266727536-653581724-8045\csvcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать заново логи.
Загрузить карантин по Правилам.
20.09.2009, 10:07
Ромка

Вирусов нет но процессы comservices и usbmngr так и висят.
И что за глюк форума, не могу virus.zip подгрузить.
20.09.2009, 10:28
Bratez

virus.zip загружайте тут: [url]http://virusinfo.info/upload_virus.php?tid=55128[/url]

Логи все нужны.
20.09.2009, 11:03
Aleksandra

Вы какой из скриптов выполняли?

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

[QUOTE=Ромка;471389]И что за глюк форума, не могу virus.zip подгрузить.[/QUOTE]
Это не глюк. Не дает загрузить карантин, потому что Вы уже загрузили его.
20.09.2009, 13:51
Ромка

[QUOTE=Aleksandra;471399]Вы какой из скриптов выполняли?

[/QUOTE]

ваш

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Aleksandra;471399]
Это не глюк. Не дает загрузить карантин, потому что Вы уже загрузили его.[/QUOTE]

Нет, Вы не правы. Появляется сообщение, якобы слишком много килобайт уже закачал.
20.09.2009, 13:54
Aleksandra

Не нужно меня обманывать. Я по карантину видела чей Вы скрипт выполняли. Ладно проехали...

Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Ромка;471478]Нет, Вы не правы.[/QUOTE]
Права. :)
20.09.2009, 14:13
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteService('heirxdnw');
QuarantineFile('D:\WINDOWS\System32\Drivers\heirxdnw.sys','');
DeleteService('ComServices');
QuarantineFile('d:\windows\usbmngr.exe','');
TerminateProcessByName('d:\windows\usbmngr.exe');
QuarantineFile('d:\windows\system32\com\comservices.exe','');
TerminateProcessByName('d:\windows\system32\com\comservices.exe');
DeleteFile('d:\windows\system32\com\comservices.exe');
DeleteFile('d:\windows\usbmngr.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\heirxdnw.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=55128[/URL]

3. Повторите логи.
20.09.2009, 14:51
Ромка

[QUOTE=Aleksandra;471491] Повторите логи.[/QUOTE]
Логи повторяю
20.09.2009, 15:04
Aleksandra

[QUOTE]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: [COLOR="Red"]включено[/COLOR][/QUOTE]
Почему не выключили? Выключите и заново выполняйте указания.
20.09.2009, 15:09
Ромка

А как выключить ???
У меня нету этой вкладки
20.09.2009, 15:18
Aleksandra

пуск - выполнить msconfig (там кнопочка есть)
20.09.2009, 16:20
Ромка

нету там ничего =((((
20.09.2009, 16:25
Aleksandra

Пуск - Выполнить - services.msc
Найдите службу восстановления.
Переведите ее в состояние Отключена + нажмите кнопку Стоп
Применить - ОК
20.09.2009, 17:25
Ромка

Клинусь нет у меня такой службы, её обязательно выключать?
И какой у вас виндос Александра.
21.09.2009, 01:14
pig

Лицензионный :)
А в левых сборках всё, что угодно, может быть вырезано. В том числе и восстановление системы.
21.09.2009, 09:45
Ромка

Получается рас нет восстановления, то и отключать его не надо?
21.09.2009, 09:49
Aleksandra

Пуск - Выполнить - gpedit.msc
Далее в Конфигурация компьютера последовательно разверните Административные шаблоны - Система - Восстановление системы
Посмотрите какой параметр установлен
22.09.2009, 09:37
Ромка

Отключить восстановление системы --- включена
Отключить конфигурацию --- включена
23.09.2009, 17:15
Aleksandra

В обоих местах установите параметр "Не задан". Далее сохраните изменения, перегрузитесь и после попробуйте отключить восстановление системы любым доступным способом. Если все прокатывает, то выполняйте скрипт из моего последнего сообщения и повторяйте логи.
24.09.2009, 15:03
Ромка

Ничего не прокатило, хотя переустановка винды сработала, так что теперь дальше делать???(восстановление теперь отключается)
25.09.2009, 11:02
Ромка

Тему можна закрыть.
26.09.2009, 11:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\recycler\s-1-5-21-4398215352-2228108331-447682143-1552\mwau.exe - [B]Worm.Win32.AutoRun.gsk[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Win32.Worm.Autorun.TR, NOD32: Win32/Peerfrag.DR worm, AVAST4: Win32:Trojan-gen )[*] d:\windows\system32\com\comservices.exe - [B]Trojan-Downloader.Win32.Pher.and[/B] ( DrWEB: Trojan.DownLoad.49179, BitDefender: Trojan.Generic.2446720, AVAST4: Win32:SlenfBot-F [Wrm] )[*] d:\windows\usbmngr.exe - [B]Net-Worm.Win32.Kolab.eaa[/B] ( DrWEB: Trojan.DownLoad.49179, BitDefender: Trojan.Generic.2431897, AVAST4: Win32:SlenfBot-F [Wrm] )[/LIST][/LIST]