Опять вирусы!

**thyrex** · 25.08.2009, 00:55

Удалите (на всякий случай) FlashGet

Пофиксить в HiJack

Код:

 O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrive32.exe
O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrive32.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\WINDOWS\jtfbebt.mbb','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0112762113-9278676818-399926201-2155\csvcs.exe','');
 SetServiceStart('sysdrv32', 4);
 DeleteService('sysdrv32');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 TerminateProcessByName('c:\windows\msdrive32.exe');
 QuarantineFile('c:\windows\msdrive32.exe','');
 TerminateProcessByName('c:\windows\system\dllcache.exe');
 QuarantineFile('c:\windows\system\dllcache.exe','');
 DeleteFile('c:\windows\system\dllcache.exe');
 DeleteFile('c:\windows\msdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0112762113-9278676818-399926201-2155\csvcs.exe');
 DeleteFile('C:\WINDOWS\jtfbebt.mbb');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\WINDOWS\', 'jtfbebt.*', true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Mc 09** · 25.08.2009, 22:01

Всё сделал как Вы написали.
Что дальше?

**V_Bond** · 25.08.2009, 22:33

C:\WINDOWS\system\dllcache.exe - пришлите согласно приложения 2 правил ...

**Mc 09** · 26.08.2009, 22:13

Уже отослал!

**Rene-gad** · 27.08.2009, 10:27

C:\WINDOWS\system\dllcache.exe - вердикт - известный зловред Backdoor.Win32.IRCBot.lav

Большая просьба и требование правил: не переименовывайте никаких автоматически созданных файлов!!!

Добавлено через 3 минуты

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\windows\system\dllcache.exe');
 DeleteFile('c:\windows\system\dllcache.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Mc 09** · 27.08.2009, 19:45

Скрипт не запускается. Выскакивает сообщение об ошибке в позиции 4:15.
Что делать?

**pig** · 27.08.2009, 19:52

Вроде поправил опечатку, пробуйте.

**Mc 09** · 28.08.2009, 20:48

Сообщение от pig

Вроде поправил опечатку, пробуйте.

Вроде, сделал всё.

**V_Bond** · 28.08.2009, 22:23

C:\DOCUME~1\User\LOCALS~1\Temp\mbr.sys -пришлите карантин согласно приложения 3 правил ...

**Mc 09** · 29.08.2009, 17:57

C:\DOCUME~1\User\LOCALS~1\Temp\mbr.sys в карантин не добавляется.
Что делать?

**Rene-gad** · 29.08.2009, 18:40

Сообщение от Mc 09

Что делать?

Посмотрите, есть ли файл как таковой. Если нет - то Вы ничего добавить не можете - это ясно.
Сделайте лог МБАМ.

**Mc 09** · 29.08.2009, 20:23

Антивирус ругается на Worm/Conficker.Z.17
SVCHOST - ошибка приложения.

**Rene-gad** · 29.08.2009, 22:16

- Сделайте лог GMER.
- Сделайте лог Avenger.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Mc 09** · 30.08.2009, 19:30

Антивирус ругается на Worm/Kolab.drn

**Rene-gad** · 30.08.2009, 20:23

пролечитесь по этой схеме: http://virusinfo.info/showpost.php?p=433671&postcount=3

**Mc 09** · 02.09.2009, 16:19

Скачал VBA, распаковал из архива и уменя получилось 3 папки:vba, docs, tools. И в них есть папки и файлы.
Что мне загружать?

**pig** · 02.09.2009, 19:45

Какой именно архив вы распаковывали?
Я смотрю по ссылке - там всё очень прозрачно по шагам расписано, что в какой последовательности делать, что запускать.

**Mc 09** · 02.09.2009, 20:28

Распаковывал vbarescue-beta. Я оставил такое же его название как мне и предлогалось, не переименовывал.

**pig** · 02.09.2009, 20:37

ISO? В инструкции написано, что ISO надо записать на болванку. Это образ CD, надо позвать программу-прожигалку и записать образ. Ничего распаковывать не надо, прожигалка должна сама разобраться, что там и куда. Потом с полученного сидюка загрузитесь.

**Mc 09** · 02.09.2009, 21:43

А чем-то другим, кроме VBA, можно полечить?

Опять вирусы! (заявка № 51668)

Опции темы

Антивирусная помощь

Похожие темы

Опять вирусы.

Опять вирусы.мин.2!

Опять вирусы

Опять вирусы!!!

Опять вирусы

Метки для этой темы

Ваши права в разделе