-
Junior Member
- Вес репутации
- 62
трояны не убиваются
помогаю товарищу чистить его комп, проблема такова - изначально был установлен др.веб , всё было просканено, удалено исцелено... но затем при попытке открыть любой диск др.веб тут же находит вирус, каторый вылечивает, но эта ситуация постоянно повторяется. при скане avz были обнаружены ещё вирусы... вобщем вот лог файлы, помогите плиз....
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=15133 , как написано в прил.3 правил
Последний раз редактировалось Numb; 11.12.2007 в 15:27.
-
-
Junior Member
- Вес репутации
- 62
дико извеняюсь за невыключенное восстановление системы, пришлось повторить скрипт и повторно выслать карантин
-
Из интересующих добрался в карантине только C:\WINDOWS\system32\amvo0.dll . По результатам проверки на virustotal.com :
Код:
AntiVir 7.6.0.40 2007.12.12 TR/Crypt.NSPM.Gen
eSafe 7.0.15.0 2007.12.11 suspicious Trojan/Worm
McAfee 5183 2007.12.11 PWS-LegMir.dll
Microsoft 1.3007 2007.12.12 VirTool:Win32/Obfuscator!Mal
Panda 9.0.0.4 2007.12.12 Suspicious file
Prevx1 V2 2007.12.12 Malware.Gen
Sophos 4.24.0 2007.12.12 Troj/Lineag-Gen
Webwasher-Gateway 6.6.2 2007.12.12 Trojan.Crypt.NSPM
Поэтому, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\nideiect.com');
DeleteFile('D:\nideiect.com');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ, если будет не пустой, и повторите логи. В дополнение: почти наверняка заражены съемные носители. Отключите автозапуск ( в этой теме - http://virusinfo.info/showthread.php?t=14929 - дана ссылка на утилиту, позволяющую сделать это автоматически, не правя руками реестр) и выполните рекомендации, данные здесь: http://virusinfo.info/showthread.php?t=8877 . В дополнение, ищите в корне дисков, если найдете - удаляйте файл nideiect.com . И еще: по названию судя, зверь, живший у вас, воровал пароли. Меняйте ВСЕ пароли на данной машине.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan-GameThief.Win32.Nilage.bvl (DrWEB: Win32.HLLW.Autoruner.1020)
- c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.kow (DrWEB: Trojan.PWS.Wsgame.2387)
- d:\\autorun.inf - Trojan-GameThief.Win32.Nilage.bvl (DrWEB: Win32.HLLW.Autoruner.1020)
-