Стоит антивирус NOD32, все проверил, обнаруживает эти вирусы, но не удаляет, к тому же появляется ошибка, которая при lovesan, что через 1 минуту компьютер перезагрузится. Все сделал по правилам. Прилагаю.
Стоит антивирус NOD32, все проверил, обнаруживает эти вирусы, но не удаляет, к тому же появляется ошибка, которая при lovesan, что через 1 минуту компьютер перезагрузится. Все сделал по правилам. Прилагаю.
Отключите восстановление системы!
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); QuarantineFile('C:\WINDOWS\system32\drivers\msbzgh.exe',''); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\ayagbf.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\ayagbf.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\jswmidin.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Wbg04.sys',''); QuarantineFile('C:\WINDOWS\system32\msftp.dll',''); QuarantineFile('c:\windows\system32\drivers\msbzgh.exe',''); QuarantineFile('c:\documents and settings\Администратор\local settings\application data\ayagbf.exe',''); DeleteFile('c:\documents and settings\Администратор\local settings\application data\ayagbf.exe'); DeleteFile('c:\windows\system32\drivers\msbzgh.exe'); DeleteFile('C:\WINDOWS\system32\msftp.dll'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\ayagbf.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\ayagbf.exe'); DeleteFile('C:\WINDOWS\system32\drivers\msbzgh.exe'); DeleteFile('C:\System Volume Information\_restore{C750D26B-A476-4447-9266-77AEE559D341}\RP399\A0275467.sys'); DeleteFile('C:\System Volume Information\_restore{C750D26B-A476-4447-9266-77AEE559D341}\RP399\A0275507.sys'); DeleteFile('C:\System Volume Information\_restore{C750D26B-A476-4447-9266-77AEE559D341}\RP399\A0276507.sys'); DeleteFile('C:\WINDOWS\system32\drivers\sysproc.sys'); BC_ImportALL; BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Schedule'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Все сделал. Теперь вот что осталось (см. вложение). Но все равно когда подключаюсь к Интернету, открываю браузер, то NOD обнаруживает вирус Win32/Wigon, Win32/Agent.NBT и отправляет их на карантин. Так каждый раз. Также на все сайты, кроме этого открывается старница "Fedora Tes Page", появляется сообщение Generic Host Process for Win32 Services. Нажимаю "Закрыть" - появляется сообщение, что через минуту комп перезагрузится.
Последний раз редактировалось Энергетик; 21.01.2008 в 12:20.
Ещё не много, ещё чуть-чуть
отключиться от инета и отключить антивирус, выполнить скрипт :
Загрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('jswmidin'); SetServiceStart('jswmidin', 4); DeleteService('jswmidin'); StopService('Wbg04'); SetServiceStart('Wbg04', 4); DeleteService('Wbg04'); TerminateProcessByName('C:\WINDOWS\Recycled\autorun.exe'); QuarantineFile('C:\WINDOWS\Recycled\autorun.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\jswmidin.sys',''); QuarantineFile('C:\WINDOWS\system32\sfrem01.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Wbg04.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Wbg04.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\jswmidin.sys'); DeleteFile('C:\WINDOWS\Recycled\autorun.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
P.S. вопрос : у вас раутер прописан на 192.168.212.1 ?
Последний раз редактировалось drongo; 21.01.2008 в 12:31.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все сделал. Во вложении. Брандмауэр включен. Ошибка все равно появляется.
Подпись ошибки:
szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown
szModVer : 0.0.0.0 offset : 09001a56
Сообщение об обнаружении ошибки закрываю, через минуту комп перезагружается.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Wbg04\0000', 'CSConfigFlags', '1'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wbg04.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('jswmidin'); BC_DeleteSvc('Wbg04'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 59 секунд
И приложите файл boot_clr.log из папки с AVZ.
Последний раз редактировалось Bratez; 21.01.2008 в 16:38. Причина: Добавлено
I am not young enough to know everything...
Сделал все с п. 10. Вот.
Да, еще одно вложение.
в логах ничего зловредного ...
авз -мастер поиска и устранения проблем - отметить все проблемы - устранить
Логи чистые. Ошибка не исчезла?
I am not young enough to know everything...
Ошибка исчезла. Мастер поиска и устранения проблем применил. Все в порядке. Всем огромное спасибо за помощь!
Делом надо заниматься серьезно или не заниматься им вообще.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Энергетик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.