-
Junior Member
- Вес репутации
- 58
U2 cmd. Помогите пожалуйста..
Здрасте. Собственно проблема в этом злосчастном вирусе. Вот ссылка на точно такую же проблему: http://virusinfo.info/showthread.php...oto=nextoldest.
Тоже скрытые и системные файлы не отображаются, файл не удаляется, в Recycler\ХХХ\ лежит файл Info 2, если его удалить (через Total), то в папке появляется на один файл больше...
Надеюсь на вашу благородную помощь.
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\u2.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\u2.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\u2.cmd');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\u2.cmd');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\u2.cmd');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26956
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Обновите базы АВЗ и повторите логи.
-
Junior Member
- Вес репутации
- 58
wise-wistful
Спасибо, что откликнулся.
Карантин отправил, вот логи.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\System Volume Information\_restore{24DE055D-0EAF-488F-A36B-1C81B905E1AE}\RP12\A0019796.cmd');
DeleteFile('E:\System Volume Information\_restore{24DE055D-0EAF-488F-A36B-1C81B905E1AE}\RP13\A0020795.cmd');
DeleteFile('F:\System Volume Information\_restore{24DE055D-0EAF-488F-A36B-1C81B905E1AE}\RP9\A0009596.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Жалобы есть?
-
-
Junior Member
- Вес репутации
- 58
Касперский 7 ругается на аvz.ехе , Пишет что он создает драйвер uti....,и в реестр чото прописывает. типо трояна.
?о_0
-
В правилах написано черным по белому,что антивирус на время лечения нужно отключать,Касперский ловит загрузку драйвера-это нормально...
-
-
Junior Member
- Вес репутации
- 58
Точно, забылся, спасибо.
Теперь больше ничего не надо делать? Вроде везде заходит нормально, и папки скрытые отображает...
?
-
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось highwaystar; 11.12.2009 в 16:11.
-
в логах ничего плохого ...
-
-
Junior Member
- Вес репутации
- 58
Тогда я Вас всех искренне благодарю, жылаю здаровья и щастья))))
Спасибо ребят, выручили.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
- c:\\u2.cmd - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.MulDrop.6474)
- c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.MulDrop.6474)
- c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Trojan.PWS.Wsgame.3434)
- d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ryg (DrWEB: Win32.HLLW.Autoruner.1410)
-