-
Junior Member
- Вес репутации
- 63
Не запустить антивирус для проверки
Доброго времени суток. Отрубили интернет, оказалось что из-за вирусов. При попытке выполнить стандартный скрипт в AVZ компьютер просто сразу перезагружается (как только идет проверка руткитов - но это по моему наблюдению). Кроме того компьютер проверялся НОД-32, около 20 вирусов нашел. А также позволяет запустить AVZ в безопасном режиме - прикрепленные логи именно с такой проверки.
Cureit также не запускается.
вообщем плохие дела. Надеюсь на Вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите
Код:
2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Выполните скрипт в безопасном режиме:
Код:
begin
DeleteFile('C:\WINDOWS\KesenjanganSosial.exe');
DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Тамара\Главное меню\Программы\Автозагрузка\ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Oiwm60.sys');
DeleteFile('C:\Documents and Settings\Тамара\Шаблоны\7932-NendangBro.com');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Jlcq52.sys');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После скрипта повторите логи.
Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 19:51.
-
-
Junior Member
- Вес репутации
- 63
Выкладываю логи после выполнения скриптов.
-
Восстановление системы: включено \отключить ....
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\qd.cmd','');
QuarantineFile('C:\juok3st.bat','');
QuarantineFile('C:\m1t8ta.com','');
QuarantineFile('C:\d.com','');
QuarantineFile('C:\h.cmd','');
QuarantineFile('Jlcq52.sys','');
SetServiceStart('Jlcq52', 4);
DeleteService('Jlcq52');
DeleteFile('Jlcq52.sys');
DeleteFile('C:\d.com');
DeleteFile('C:\m1t8ta.com');
DeleteFile('C:\juok3st.bat');
DeleteFile('C:\qd.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('H:\autorun.inf');
BC_DeleteSvc('Jlcq52');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 63
Восстановление отключила. Повторяю логи. Карантин выслала.
-
задания в планировщике ваши .... ?
-
-
Junior Member
- Вес репутации
- 63
-
выполните скрипт ....
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Тамара\Шаблоны\7932-NendangBro.com','');
DeleteFile('C:\Documents and Settings\Тамара\Шаблоны\7932-NendangBro.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
и меняйте пароли от всего что есть ... от аси пароли еще не ушли ?
-
-
Junior Member
- Вес репутации
- 63
Асей не пользуются. Остальные пароли вроде целы.
Последний раз редактировалось Alex_Goodwin; 02.02.2008 в 22:48.
-
логи были успел посмотреть ...
пуск- панель управления - назначенные задания удалите все задания ....
"пароли целы" - это хорошо , но лучше заменить ...
больше не вижу ничего подозрительного ...
какие-то проблемы остались ?
-
-
-
-
Junior Member
- Вес репутации
- 63
Спасибо. Задания удалили...пароли сменим...
Компьютер ведет себя нормально. Интернет подрубили обратно - сказали, что антивирь у них автоматом отключает... комп в сети уже более часа..всё работает - так что думаю что всё почистили)))
Еще раз спасибо Вам огромное )
-
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.virusinfo.info/
-
-
Junior Member
- Вес репутации
- 63
Приму к сведению, спасибо. Видимо вирусы гуляли у нас по локалке. Только что обнаружися компьютер (у подруги ниже этажом) с абсолютно схожими "симптомами"...тоже отрубили от инета и перезагруз при попытке просканить антивирусом... Так что думаю завтра отсканить у нее с avz всё, и вновь с вашей помощью и ее комп в строй ввести
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\радкевич\\local settings\\temp\\29.tmp - Trojan.Win32.Pakes.brq (DrWEB: BackDoor.Bulknet.102)
- c:\\h.cmd - Trojan-GameThief.Win32.OnLineGames.qip (DrWEB: Trojan.MulDrop.6474)
- c:\\program files\\rupass\\rupass.dll - not-a-virus:AdWare.Win32.BitAccelerator.h (DrWEB: Trojan.BitAcc.5)
- c:\\windows\\mmall.exe - Trojan-Proxy.Win32.Wopla.ac (DrWEB: Trojan.DownLoader.36532)
- c:\\windows\\system32\\drivers\\ctl_w32.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496)
- c:\\windows\\system32\\drivers\\esb47.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\drivers\\lqv84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496)
- c:\\windows\\system32\\drivers\\symavc32.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.s (DrWEB: Trojan.MulDrop.8347)
- c:\\windows\\system32\\search32.dll - Trojan.Win32.StartPage.avw (DrWEB: Trojan.StartPage.20519)
- c:\\windows\\temp\\arm3af3.tmp - Trojan.Win32.Pakes.bpn (DrWEB: BackDoor.Bulknet)
- c:\\windows\\temp\\arm6b18.tmp - Trojan.Win32.Tiny.n (DrWEB: Trojan.Proxy.2752)
- c:\\windows\\temp\\arm67b.tmp - Trojan.Win32.Pakes.bpa (DrWEB: BackDoor.Bulknet.91)
- c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Diehard.cu (DrWEB: BackDoor.Bulknet.104)
-