-
Junior Member
- Вес репутации
- 57
вирус, убил aviru и safe mode
Добрый день! Я тут где то случайно подхватил вирус,
Стало понятно это после того как, из трея вылетел с ошибкой avira, больше ничего он (вирус) не дал установить из известных антивирусов, безопасный режим паказывает синий экран, avptool не устанавливается, cureit запускаеться, но при загрузке сканера вылетает! Что за вирус не знаю.
Последний раз редактировалось s.alexxey; 13.04.2010 в 12:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните дважды
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('e:\windows\system32\wintems.exe','');
TerminateProcessByName('e:\windows\system32\wintems.exe');
QuarantineFile('e:\windows\system32\drivers\winfilse.exe','');
TerminateProcessByName('e:\windows\system32\drivers\winfilse.exe');
QuarantineFile('e:\documents and settings\Администратор\application data\m\flec006.exe','');
TerminateProcessByName('e:\documents and settings\Администратор\application data\m\flec006.exe');
DeleteFile('e:\documents and settings\Администратор\application data\m\flec006.exe');
DeleteFile('e:\windows\system32\drivers\winfilse.exe');
DeleteFile('e:\windows\system32\wintems.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33551
Повторите логи.
-
Junior Member
- Вес репутации
- 57
-
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось s.alexxey; 13.04.2010 в 12:05.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\ntbackup.exe','');
QuarantineFile('E:\WINDOWS\system32\cleanmgr.exe /D %c','');
QuarantineFile('E:\WINDOWS\system32\CTXFIHLP.EXE','');
QuarantineFile('E:\WINDOWS\system32\CTFMON.EXE','');
QuarantineFile('E:\WINDOWS\System32\wscript.exe','');
QuarantineFile('E:\WINDOWS\System32\cscript.exe','');
QuarantineFile('E:\Program Files\VistaDriveIcon\VistaDrv.exe','');
QuarantineFile('E:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\swBOEngine.exe','');
QuarantineFile('E:\Program Files\QuickTime\qttask.exe','');
QuarantineFile('E:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe','');
QuarantineFile('E:\Program Files\GIGABYTE\GBTUpd\PreRun.exe','');
QuarantineFile('E:\Program Files\DAEMON Tools Lite\daemon.exe','');
QuarantineFile('E:\Program Files\Creative\Volume Panel\VolPanlu.exe','');
QuarantineFile('E:\Program Files\Common Files\Менеджер установки SolidWorks\Scheduler\sldIMScheduler.exe','');
QuarantineFile('E:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe','');
QuarantineFile('E:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe','');
QuarantineFile('E:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe','');
QuarantineFile('E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe','');
QuarantineFile('E:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe','');
end.
Загрузите карантин...
-
-
Junior Member
- Вес репутации
- 57
-
Выполните скрипт 2 раза:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
DeleteFile('e:\documents and settings\Администратор\application data\m\flec006.exe');
DeleteFile('e:\windows\system32\drivers\winfilse.exe');
DeleteFile('E:\Program Files\VistaDriveIcon\VistaDrv.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(10);
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось s.alexxey; 13.04.2010 в 12:05.
-
Багл ушел, сделайте полную проверку CureIT в Safe Mode, если антивирусный софт не работает, переустановите его...
-
-
Junior Member
- Вес репутации
- 57
помогло спасибо, а то что было в карантине на работоспособность программ отразится?
-
Нет, только вот это украшение E:\Program Files\VistaDriveIcon\VistaDrv.exe было подменено...
-