-
Junior Member
- Вес репутации
- 60
Вирус... Помогите...
Схватил вирус... возможно с флешки, возможно с инета... когда обновлял компоненты NOD32. Вообщем нужна помощь.
То что пишет NOD32:
1)AMON файл D:\WINDOWS\system32\dllcache\zipexr.dll Win32/Agent.AEC троян изолирован - удален MOMON\Vova Событие при попытке доступа к файлу приложением D:\WINDOWS\system32\soundmix.exe.
2)D:\WINDOWS\system32\soundmix.exe Win32/Agent.AEC троян изолирован - удален (после следующего перезапуска) MOMON\Vova Событие при попытке доступа к файлу приложением D:\WINDOWS\Explorer.EXE.и
После ликвидации файлов, ни один exe фаи не открываеться... Вылазит окно, "Открыть с помощью..." =((
ПЫТАЛСЯ СКАЧАТЬ И СДЕЛАТЬ ЛОГИ С Антивирусную утилиту AVZ. , НО АНТИВИРУС СКАЗАЛ ЧТО ФАЙЛ ЗАРАЖЕН...
Я ОТКЛЮЧИЛ NOD32 И ПОПЫТАЛСЯ РАЗАРХИВИРОВАТЬ СКАЧЕННОЕ В ПАПКУ... фАЙЛА AVZ.EXE Я НЕ ОБНАРУЖИЛ.... =(((
Присоединил 1 лог (что смог сделать)
Помогите плиз
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скорее всего нод и удалил попробуйте еще раз
Интересно чем это avz заражена по версии нода?
Последний раз редактировалось akoK; 18.12.2007 в 23:11.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Сейчас еще раз попробую....
Что вообще можно сделать?
-
у вас какие-то не правильные пчелы и они делают не правильный НОД ....(с)
проверил ничего нод в авз не находит ...
-
-
Junior Member
- Вес репутации
- 60
Отключил NOD32 и запустил...Щас проверяю и готовлю лог...
Nod32 - я его уже ненавижу... Касперыч рулит)))
-
Есть смысл скачать на чистом компьютере ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe и записать на CD. Проверить им весь зараженный компьютер.
Это сказано в пункте 2 Правил. Вы это не делали?
-
-
Junior Member
- Вес репутации
- 60
еще нет... щас заканчиваю последний лог....
Может это поможет.... Если нет, то воспользуюсь советом))))
А если удален soundmix.exe работа компьютера возможна в нормальном режиме???
Просто нод кикнул этот фаил(((
-
Есть трояны которые маскируются под soundmix.exe, а если файл был изначально нормальный и затем был заражен, то надо будет драйвер звука переустановить.
И еще cureit.exe лучше переименовать в cureit.zip распаковать его в папку и эту папку записывать на СD. Запускать _start.exe
-
-
Junior Member
- Вес репутации
- 60
спасибо..
Вот пока два лога(на третьем прога вызвала ошибку)
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
Junior Member
- Вес репутации
- 60
вот еще парочка)))
Помогите плиз)))
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
на данный момент проверяю компьютер... Web нашел довольно много вирусов((( Лечил...
Похоже здесь букет вирусов
-
Отключите восстановление системы!!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
QuarantineFile('D:\WINDOWS\system32\wincab.sys','');
QuarantineFile('D:\WINDOWS\system32\soundmix.exe','');
QuarantineFile('D:\WINDOWS\system32\amvo0.dll','');
DeleteFile('D:\WINDOWS\system32\amvo0.dll');
DeleteFile('D:\WINDOWS\system32\soundmix.exe');
DeleteFile('D:\WINDOWS\system32\wincab.sys');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\n1deiect.com');
DeleteFile('C:\autorun.inf ');
DeleteFile('D:\ntde1ect.com');
DeleteFile('D:\n1deiect.com');
DeleteFile('D:\autorun.inf ');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
BC_QrSvc('dfcvbnhjkl');
BC_DeleteSvc('dfcvbnhjkl');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
А еще вопросик...
Ваша Антивирусная утилита AVZ...
Если она предлагает удалить файл, то можно безпоследственно соглашаться?
P.S. Просто я её впервые вижу... =))
Добавлено через 1 минуту
Сообщение от
Bratez
Отключите восстановление системы!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
ок! щас попробую)))
Последний раз редактировалось FrosT; 17.12.2007 в 03:03.
Причина: Добавлено
-
на данный момент проверяю компьютер...
А логи тогда для чего делали?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Bratez
А логи тогда для чего делали?
Так он на проверке уже 351 раз.... Толку то мало...(((
-
Junior Member
- Вес репутации
- 60
Вроде выздоровел))))
Подтвердите)))
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
1.В avz выполнить скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\WINDOWS\','');
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
DeleteFile('D:\WINDOWS\');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Пофиксить в HiJackThis
Код:
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
3.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 60
Спасибо))) Как сделаю, отпишусь)))
-
Junior Member
- Вес репутации
- 60
Сообщение от
zerocorporated
2.
Пофиксить в HiJackThis
Код:
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
3.Выслать карантин согласно приложению 3
правил
Скрипт выполнил... Логи прикрепил...
Только вот пофиксить не получилось... Те файлы(строки), которые вы указали - отсутствуют...
Что делать?
Последний раз редактировалось FrosT; 05.03.2008 в 00:46.
-
В логах чисто. Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
-