-
Junior Member
- Вес репутации
- 52
Антивирусы бессильны?
Доброго времени суток.
"Поймал" заразу. AVZ закрывается сразу после запуска, HijackThis тоже самое. NOD32 на загрузке системы минут пять пытается запуститься, но потом выскакивает сообщение, связанное с ядром Нода. CureIt! запускается и даже сканирует диск, но ничего (???) не находит, правда после сканирования предлагает восстановить файл Hosts, который постоянно из нормального "выростает" до 4-ёх с лишним МБ. Единственная программа из тех, что я пробовал и которая еще сохраняет свою работоспособность, Kaspersky Virus Removal TOOL, утром нашла 44 всякой гадости, вечером 19. Вроде лечит, но... И лог могу прикрепить только этой программы.
Можно ли как то мне помочь? Был бы очень признателен.
ПыСы
В Безопасный режим зайти почему то не могу. Загрузиться с ЛайвЦД почему то тоже не дает. Снять диск и подключить к другому компьютеру тоже не могу, так как ноутбук. С флэшки не грузится, ноут очень "древний".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл C:\quarantine.zip загрузите по ссылке прислать запрошенный карантин вверху темы
Сделайте новый отчет
-
-
Junior Member
- Вес репутации
- 52
Файл C:\quarantine.zip загрузил, сохранён как 100326_092145_quarantine_4bac5279926f3.zip
И новый отчет.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
DeleteFile('c:\windows\system32\wmicvrts.exe');
BC_ImportAll;
BC_DeleteSvc('LMIRfsClientNP');
BC_DeleteFile('c:\windows\system32\wmicvrts.exe');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог
-
-
Junior Member
- Вес репутации
- 52
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Temp\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Chris\qdxphvs.exe','');
DeleteService('ierdjlru');
QuarantineFile('C:\WINDOWS\system32\Drivers\ierdjlru.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ierdjlru.sys');
DeleteFile('C:\Documents and Settings\Chris\qdxphvs.exe');
DeleteFile('c:\Temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
В Приложении 3 первым пунктом
Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
Файлов нет.
Или я вас не правильно понял?
Последний раз редактировалось Loozer; 26.03.2010 в 22:24.
-
Junior Member
- Вес репутации
- 52
Выслал карантин.
Повторяю логи.
-
Базы NOD32 обновите, он уже детектирует ваш троян: Win32/Obfuscated.NCY.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.dnww ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wmicvrts.exe - Trojan.Win32.Buzus.dpog ( DrWEB: Win32.HLLW.Autoruner.17477, NOD32: Win32/AutoRun.IRCBot.DZ worm, AVAST4: Win32:Malware-gen )
-
