У меня появился вирус

[letinna]

У меня появился вирус Win32.HLLW.Autoruner.437 Dr.webего детектит но не может удалить. Вручную удалить тоже не получилось.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\avpo0.dll','');
 QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo1.dll');
 DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите весь карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.

[letinna]

Загрузила карантин. Базы почему то обновить не удается ни с одного адреса не доступны Высылаю новые логи

[pig]

Высылаю новые логи

Куда? Это карантин надо прислать, а логи прикрепить в тему, как в первом сообщении.

[letinna]

ПОчему то не приаттачились с первого раза . Пришлось снести те которые загружала ранее. Вот

[Bratez]

В карантине:
Trojan-PSW.Win32.OnLineGames.kan
Virus.Win32.AutoRun.akr
Packed.Win32.NSAnti.r
а в логах все по прежнему!

1. Отключите восстановление системы!

2. Выполните такой скрипт в безопасном режиме:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\ntde1ect.com','');
QuarantineFile('C:\nideiect.com','');
DeleteFile('C:\nideiect.com');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\amvo1.dll');
 DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

3. После перезагрузки пришлите новый карантин по правилам.
4. Попробуйте теперь обновить базы AVZ.
5. Сделайте логи еще раз.

[rubin]

Если играете в онлайн игры, то смените по окончании лечения пароли

[letinna]

Карантин выслала, а обновить так и не удается, логи сделала.

[Bratez]

C:\ntde1ect.com - Packed.Win32.NSAnti.r
C:\nideiect.com - Trojan-PSW.Win32.OnLineGames.kan

Вот теперь в логах все чисто.
Для устранения возможных последствий выполните скрипт:

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

[letinna]

У меня остались симптомы вируса: при набирании теска могут открыться какие нибудь окна, или появится лишнее буквы, или вообще ничего не печатает. Приложу новые логи

[V_Bond]

возможно у вас проблемы с клавиатурой ...

[letinna]

До недавнего времени с клавиатурой все было нормально, переставила драйвер, не помогло.
Ззаполнения формы логина / пароля на веб страницах начинают вылезать не понятные совершенно окна.
Еще я забыла в прошлый раз написать, что я выполнила скрипт и что из служб нужна только загрузка с сд и служба терминалов

[Bratez]

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Если есть локалка с использованием общего доступа к файлами принтерам, уберите из скрипта первую строчку после begin.

На клавиатуру драйвер переставлять смысла нет, просто попробуйте подключить другую и поработать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 24
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\autorun.inf - Worm.Win32.AutoRun.aox (DrWEB: Win32.HLLW.Autoruner.437)
  2. c:\\nideiect.com - Trojan-GameThief.Win32.OnLineGames.kan (DrWEB: Trojan.PWS.Wsgame.2387)
  3. c:\\ntde1ect.com - Packed.Win32.NSAnti.r (DrWEB: Win32.HLLW.Autoruner.437)
  4. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.kan (DrWEB: Trojan.PWS.Wsgame.2387)
  5. c:\\windows\\system32\\amvo1.dll - Worm.Win32.AutoRun.nr (DrWEB: Trojan.PWS.Wsgame.2387)
  6. c:\\windows\\system32\\avpo.exe - Packed.Win32.NSAnti.r (DrWEB: Win32.HLLW.Autoruner.437)
  7. c:\\windows\\system32\\avpo0.dll - Packed.Win32.NSAnti.r (DrWEB: Win32.HLLW.Autoruner.437)
  8. d:\\autorun.inf - Worm.Win32.AutoRun.aox (DrWEB: Win32.HLLW.Autoruner.437)