В стандартном режиме комп перезагружается, сделал в безопасном.
В стандартном режиме комп перезагружается, сделал в безопасном.
Последний раз редактировалось vve; 12.01.2008 в 12:40.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe',''); QuarantineFile('C:\WINDOWS\system32\oriieke7a136a3e.sys',''); QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe',''); QuarantineFile('C:\WINDOWS\mrofinu27.exe',''); DeleteFile('C:\WINDOWS\system32\kernelwind32.exe'); DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15989
Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com
раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
попробуйте сделать логи в обычном режиме.
C:\WINDOWS\system32\oriieke7a136a3e.sys - вирус Email-Worm.Win32.Zhelatin.qb
C:\WINDOWS\mrofinu27.exe - троянская программа Trojan-Downloader.Win32.Agent.gwh
Выполните в АВЗ ...
Профиксите ..Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\WINDOWS\system32\oriieke7a136a3e.sys'); DeleteFile('C:\WINDOWS\mrofinu27.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Электротех& #1085;ика\Application Data\Mra\Update\mrasearch.dll O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
Последний раз редактировалось wise-wistful; 05.01.2008 в 14:24.
Скрипт выполнил, пофиксил, эти 4 строчки исчезли, но опять при выполнении стандартного скрипта в авз комп перезагружается
отключите аутпост и антивирус ... и сделайте новые логи ...
отключите аутпост и антивирус
выполните скрипт ...
затем еще один ...Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start'); RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); QuarantineFile('C:\WINDOWS\taskmon.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys',''); DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Taf40'); BC_DeleteSvc('ip6fw'); BC_DeleteSvc('Lvst79'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ..
Все сделал
Последний раз редактировалось vve; 12.01.2008 в 12:40.
все на месте ... попробуйте выполнить скрипт в safe mode ....
Да попробуйте оба и потом повторите логи.
сделал
Последний раз редактировалось vve; 12.01.2008 в 12:40.
уже чище ...
пришлите свежий карантин ....
кто-нибудь из helper'ов смотрел карантин?
выполните в АВЗ
загрузите карантин по правилам.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe',''); DeleteFile('C:\WINDOWS\taskmon.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
профиксите ...
Код:O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
Похоже Trojan.Patched.AU (BitDefender)
svchost.exe не прошел по базе безопасных
Добавлено через 1 минуту
У вас есть установочный диск? (переустанавливать ничего не надо!)
Последний раз редактировалось akoK; 09.01.2008 в 13:10. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Уважаемый(ая) vve, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.