Junior Member
Вес репутации
60
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- На;ать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\System32\msfont.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\Documents and Settings\PaPa\Application Data\Mozilla\Firefox\Profiles\6lrtqssk.default\extensions\firebit@firebit\components\firebit.dll','');
QuarantineFile('c:\docume~1\papa\locals~1\temp\rtkbtmnt.exe','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18952
Добавлено через 51 секунду
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Повторите логи с п.10 Правил
Последний раз редактировалось akoK; 01.03.2008 в 21:13 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Спасибо! Диски открываются ща кину логи и карантин
Junior Member
Вес репутации
60
Вложения
Junior Member
Вес репутации
60
Удалим одного, остальных посмотрим
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\msfont.dll','');
QuarantineFile('C:\Program Files\FlashGet\fgupdate.dll','');
QuarantineFile('c:\program files\thoosje sidebar v2.3\thoosje vista sidebar.exe','');
DeleteFile('C:\Documents and Settings\PaPa\Application Data\Mozilla\Firefox\Profiles\6lrtqssk.default\extensions\firebit@firebit\components\firebit.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
загрузить новый карантин .
Junior Member
Вес репутации
60
Вирусняк коцнул этот файл?
c:\program files\thoosje sidebar v2.3\thoosje vista sidebar.exe
Не хотелось бы его килять... есть у меня варианты?
Его не удаляют, а берут в карантин копию
Junior Member
Вес репутации
60
уже понял Сорри
Добавлено через 1 минуту
Карантин кинул... лог нужен?
Добавлено через 16 минут
забыли про меня... (((
Последний раз редактировалось PaPa; 01.03.2008 в 22:15 .
Причина: Добавлено
firebit.dll - not-a-virus:AdWare.Win32.Kitsune.a
msfont.dll - Trojan-Downloader.Win32.Agent.kdt
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\msfont.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
x6.bat - поищите при помощи авз и пришлите согласно приложения 3 правил ...
Junior Member
Вес репутации
60
Нашел, авз пишет
Ошибка карантина файла, попытка прямого чтения (x6.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\x6.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\x6.bat)
Карантин с использованием прямого чтения - ошибка
выполните скрипт ...
Код:
begin
QuarantineFile('x6.bat','');
QuarantineFile('C:\WINDOWS\system32\x6.bat','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Junior Member
Вес репутации
60
Карантин пуст... эта зверюга хитрая... или его не было. Far'ом не видно нигде из указанных папок
Значит нет его... проблемы остались?
Junior Member
Вес репутации
60
После выполнеия последних 2-х скриптов (перед ребутом) аваст вирус находил один C:\WINDOWS\system32\Drivers\vdm0nza2.sys... что это?
Добавлено через 2 минуты
И вирус ли вобще : ) Не очень я авасту доверяю...
Последний раз редактировалось PaPa; 01.03.2008 в 22:57 .
Причина: Добавлено
антивирус нужно отключать.... ( правила не читаем принципиально ?)
все на что способен ваш- это ругаться на драйвер авз ...
Junior Member
Вес репутации
60
Упс сорри. Вобщем нет проблем больше (Аваст нах снесу ) Спасибо!
Рекомендуемые антивирусы - http://virusinfo.info/showthread.php?t=1550
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.snn (DrWEB: Win32.HLLW.Autoruner.1427) c:\\autorun.inf - Trojan-GameThief.Win32.Nilage.bvl (DrWEB: Win32.HLLW.Autoruner.1020) c:\\documents and settings\\papa\\application data\\mozilla\\firefox\\profiles\\6lrtqssk.default \\extensions\\firebit@firebit\\components\\firebit .dll - not-a-virus:AdWare.Win32.Kitsune.a (DrWEB: Trojan.BitAcc) c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.Nilage.bvl (DrWEB: Trojan.PWS.Wsgame.2387) c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.lyg (DrWEB: Trojan.PWS.Wsgame.2387) c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.snn (DrWEB: Trojan.PWS.Wsgame.3434) c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.snn (DrWEB: Trojan.PWS.Wsgame.3434) c:\\windows\\system32\\msfont.dll - Trojan-Downloader.Win32.Agent.kdt (DrWEB: Trojan.DownLoader.49401) d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.snn (DrWEB: Win32.HLLW.Autoruner.1427)