Помогите пожалуста с лечением
Помогите пожалуста с лечением
Последний раз редактировалось uniken1; 25.04.2008 в 16:07.
Обновите базы AVZ и повторите логи....тогда снесем все одним ударом
Добавлено через 1 минуту
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:F3 - REG:win.ini: run= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
Последний раз редактировалось akoK; 18.03.2008 в 23:31. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Искал, но не нашел где скачать и как поставить обновления для AVZ?
Да и еще одно, заранее, этим же заражены еще примерно 50 офисных машин, можно ли их всех будет лечить одинаково?
АВЗ Файл--обновление баз
Все зависит от заразы и конфигурации машин.....только на свой страх и риск, но AVZ можно переносить на флешке
Microsoft Most Valuable Professional in Consumer Security
а зараженных, инета нет
ЗЫ пофиксил
Логи с обновленной AVZ?
Microsoft Most Valuable Professional in Consumer Security
Вы сейчас откуда пишете?
Microsoft Most Valuable Professional in Consumer Security
Из др офиса
скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip ... затем распакуете ...
Вот обновленные логи
Последний раз редактировалось uniken1; 25.04.2008 в 16:07.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\efipsk.sys',''); QuarantineFile('D:\m6dqm2vd.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\m6dqm2vd.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\kavo.exe',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\kavo0.dll',''); DeleteFile('C:\WINDOWS\system32\kavo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\kavo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\m6dqm2vd.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\m6dqm2vd.exe'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20066
Повторите логи с п.10 Правил
Последний раз редактировалось akoK; 19.03.2008 в 14:36.
Microsoft Most Valuable Professional in Consumer Security
а не могли бы вы сказать почему wincab.sys не виден ни откуда, я загружаюсь с liveCD и такго файла нигде нет, хотя к жескому диску обращений небыло, и возможно ли его както увидеть?
Этот файл похоже действительно не хранится на диске, а создается при запуске трояна, и потом уничтожается. Во всяком случае не припомню, чтобы он попадал в карантин. Можете попытаться найти его с помощью какой-нибудь программы восстановления удаленных файлов. Если получится - пришлите образчик по правилам.
Последний раз редактировалось Bratez; 20.03.2008 в 07:10.
I am not young enough to know everything...
С помощью скрипта вирус удаляется. Почему не получается удалить вирус вручную c загрузочного диска, удамением всех autorun, m6dqm2vd, kavo.exe, kavo0.dll (wincab.sys нет нигде,Temp\efipsk.sys а в Теmp вообще пусто)? Что такого особенного делает AVZ
Так а логи то где новые?
Вирус должен удалиться, но его последствия остаются.
Последний раз редактировалось akoK; 19.03.2008 в 22:04.
Microsoft Most Valuable Professional in Consumer Security
Выкладываю логи после выполнения скрипта.
И еще выкладываю лог созданный File Monitor(http://technet.microsoft.com/ru-ru/s...42(en-us).aspx) при выполнении m6dqm2vd.exe. Очень прошу посмотреть и обратить внимание на строки
148-164
462-489
832-836(wincab создается процессом iexplorer?)
Мне очень надо научиться полностью и быстро лечить этот вирус, т.к машин очень много заразилось!
Последний раз редактировалось uniken1; 25.04.2008 в 16:06.
В логах чисто
Добавлено через 2 минуты
Зловред создает троянский поток.....
http://virusinfo.info/showpost.php?p=204168&postcount=7
Последний раз редактировалось akoK; 19.03.2008 в 22:06. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Уважаемый(ая) uniken1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.