Вирус удалил с помощью livecd Drweb. AVZ и CureIT запускается вирусов не находит. Долгая загрузка копьютера.
Появляется в загрузке
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\8f5423d3.exe,C:\WINDOWS\system32\skncy o.exe,
Вирус удалил с помощью livecd Drweb. AVZ и CureIT запускается вирусов не находит. Долгая загрузка копьютера.
Появляется в загрузке
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\8f5423d3.exe,C:\WINDOWS\system32\skncy o.exe,
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Program Files\usb_anti_autorun\usb.wsf',''); QuarantineFile('C:\WINDOWS\System32\Drivers\fdc.sys',''); DeleteService('Secdrv'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys',''); QuarantineFile('c:\windows\xerox\panelmgr\ssmmgr.exe',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог MBAM
Скрипты выполнил, вроде загружатся стал быстрее.
Новые логи.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); DeleteFile('C:\Program Files\Common Files\keylog.txt'); QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys.bak',''); DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\wm'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Все выполнено, карантин отправил.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Сделайте повторный лог RSITКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
выполнено, карантин отправлен.
выполните еще раз скрипт
После перезагрузки:begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
- Сделайте повторный лог RSIT
Выполнено, лог выслал только поставились обновления на windows. Возможно сильное изменение файлов
теперь чисто
Добавлено через 40 секунд
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Последний раз редактировалось polword; 19.08.2010 в 07:32. Причина: Добавлено
Спасибо.
Internet-Explorer 8 стоит, поставил последние обновления.
Теперь займусь следующим компутером.
polword,
хорошо, сейчас попробую сделать. только там вирус блокирует AVZ и CureIT
- попробуйте сделать логи таким AVZ
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\usb_anti_autorun\\usb.wsf - Worm.VBS.VirusProtection.c ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.0868D3ED, AVAST4: VBS:VirusProtection-C )
Уважаемый(ая) Lancelotru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.