Здравствуйте!
Вновь дали на лечение бук, AVZ обнаружил червя small.NAB и множество других подозрительных файлов, прошу помощи.
Здравствуйте!
Вновь дали на лечение бук, AVZ обнаружил червя small.NAB и множество других подозрительных файлов, прошу помощи.
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Screen Task.scr',''); QuarantineFile('c:\docume~1\d8f3~1\taskmgr.exe',''); DeleteFile('c:\docume~1\d8f3~1\taskmgr.exe'); DeleteFile('C:\WINDOWS\Screen Task.scr'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
Если будут проблемы с открытием дисков, реколмендации по устранению проблемы тут.
Все сделал по пунктам, черви остаются
1. У вас поражение вирусом Virus.VBS.Small.a.
Для удаления выполните такой скрипт:
После перезагрузки пофиксите в HijackThis:Код:begin SetAVZGuardStatus(True); DeleteFile('C:\autorun.*'); DeleteFile('C:\WINDOWS\system32\autorun.*'); DeleteFile('E:\autorun.*'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновите базы Касперского и обязательно проверьте все ваши съемные носители (флэшки, дискеты, mp3-плеер и т.п.).Код:F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
2. Надо проверить еще пару файлов. Выполните скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\preflib.dll',''); QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Все сделал, файл карантина прислал.
Приланные файлы чистые.
Сделайте логи еще раз, проверим результат удаления.
I am not young enough to know everything...
Посылаю
В логах все нормально. Проблема решена?
Не совсем. Поставил NOD 32 2.7 со свежими базами. Сейчас проверяю - уже нашел червя VBS small и червя Win32/Mygirl.C
NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information
NOD убил 35 червей, перезагрузился, проверил чисто. Лишь бы ничего не вылезло. Смущает процесс WLTRYSVC.EXE
Отключить восстановление системы и провериться антивирусом со свежими базами нужно было еще до открытия темы, как это написано в правилах. Может тогда и до открытия темы бы не дошлоNOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information
Комп Dell'овский? WiFi имеется?Смущает процесс WLTRYSVC.EXE
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc)...
I am not young enough to know everything...
Я проверился в начале свежим Curel It с отключенным восстановлением системы, думал этого достаточно. NOD достал только сегодня, проверял тоже с отключ. восст-ем. Логи пришлю, но вроде все уже чисто.
Вероятно, сделали только экспресс-проверку, которую он запускает при старте? А нужно было весь комп проверить. Не верю, что CureIt, даже не совсем свежий, пропустил бы VBS.Small.a.Я проверился в начале свежим Curel It
Ну да ладно, главное - всех победили
Логи конечно сделайте, чтобы не осталось сомнений.
I am not young enough to know everything...
Да, действительно, была только экспресс-проверка, а потом сразу AVZ стал проверять. Спасибо за помощь!
Вот теперь на самом деле чисто.
Ну если что - заходите еще
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Virus.VBS.Small.a (DrWEB: VBS.Igidak)
- e:\\autorun.inf - Virus.VBS.Small.a (DrWEB: VBS.Igidak)
Уважаемый(ая) Михалыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.