Доброго времени суток.
Несколько дней боролась с winlib-ом В процессе выполнения пунктов Правил, прилагаемых к этой ветке, обнаружилось еще куча всего нелицеприятного Нет слов, кроме "помогите", в общем..
Доброго времени суток.
Несколько дней боролась с winlib-ом В процессе выполнения пунктов Правил, прилагаемых к этой ветке, обнаружилось еще куча всего нелицеприятного Нет слов, кроме "помогите", в общем..
Последний раз редактировалось MyIsteriya; 01.10.2009 в 22:28.
Алилуя, прикрепились =) Прошу прощения, что не сразу, уже глаза в районе затылка...
Добавлено через 1 час 51 минуту
Карантин ушел.
Файл сохранён как 091002_001232_virusinfo_cure_4ac50d30b4ea4.zip
Размер файла 86179
MD5 4ade818f0125e8f1a5c91294591f2c62
Последний раз редактировалось MyIsteriya; 02.10.2009 в 00:20. Причина: Добавлено
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Antispyware\Antispyware.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wch47.sys',''); DeleteService('Wch47'); QuarantineFile('C:\WINDOWS\System32\Drivers\Sna62.sys',''); DeleteService('Sna62'); QuarantineFile('C:\WINDOWS\System32\Drivers\Nrr47.sys',''); DeleteService('Nrr47'); QuarantineFile('C:\WINDOWS\System32\Drivers\Lyf78.sys',''); DeleteService('Lyf78'); QuarantineFile('C:\WINDOWS\System32\Drivers\Lbh12.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kpm56.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kor77.sys',''); DeleteService('Lbh12'); DeleteService('Kpm56'); DeleteService('Kor77'); QuarantineFile('C:\WINDOWS\System32\Drivers\Fag87.sys',''); DeleteService('Fag87'); QuarantineFile('C:\WINDOWS\system32\dll.sys',''); DeleteService('dedede'); QuarantineFile('C:\WINDOWS\System32\Drivers\Bfh07.sys',''); DeleteService('Bfh07'); DeleteService('windswe'); TerminateProcessByName('c:\windows\schelp.exe'); QuarantineFile('c:\windows\schelp.exe',''); DeleteFile('c:\windows\schelp.exe'); DeleteFile('C:\WINDOWS\system32\windswe.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Bfh07.sys'); DeleteFile('C:\WINDOWS\system32\dll.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fag87.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kor77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kpm56.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lbh12.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lyf78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nrr47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sna62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wch47.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lvhost'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\winlib0.dll',''); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово
Файл сохранён как 091002_080643_virus_4ac57c5302565.zip
Размер файла 88040
MD5 423a824994419f2a8d8c706a34b3f5d1
C:\WINDOWS\system32\winlib0.dll пришлите согласно Приложения 2 правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
При помощи AVZ архивировать не получается (не вижу потом архива), делаю вручную. Результат этой попытки:
! D:\Install\virus\avz4\Quarantine\2009-10-02\virus.zip: Невозможно открыть avz00003.dta
! Отказано в доступе.
Добавлено через 14 минут
thyrex, Этот файл не "скрытый" и не "только для чтения", галок нет, по крайней мере
И еще, если над ним (или его компашкой) проводить какие-либо манипуляции, то тут же лезет "обновление", SpIDer ругается. Если удалить/запретить/переместить/переименовать, и заглянуть по старому адресу размещения файла, то можно увидеть его на том же месте
Последний раз редактировалось MyIsteriya; 02.10.2009 в 08:45. Причина: Добавлено
Скопируйте файл в другое место, заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ошибка при копировании файла или папки
Не удается скопировать avz00003. Нет доступа.
Диск может быть переполнен или защищен от записи, либо файл занят другим приложением (с)
Что удалять?
Я просил это проделать с файлом C:\WINDOWS\system32\winlib0.dll
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Cогласно Приложения 2 правил отправила, а в C:\WINDOWS\system32 пока тихо Уже Спасибо))
Добавлено через 3 минуты
И поиск не дал результатов thyrex, я Вас люблю))
Последний раз редактировалось MyIsteriya; 02.10.2009 в 14:02. Причина: Добавлено
Выполните скрипт в AVZ
После перезагрузки сделать новый лог virusinfo_syscheck.zipКод:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\winlib0.dll'); ExecuteSysClean; RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть.
Чисто
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо вам большое))
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 89
- В ходе лечения обнаружены вредоносные программы:
- \avz00003.dta - not-a-virus:AdWare.Win32.Cinmus.bcxn ( DrWEB: Trojan.DownLoad.49306, BitDefender: Generic.Adw.Cinmus.4.C8A1AFE5, AVAST4: Win32:Cinmus-BF [Trj] )
Уважаемый(ая) MyIsteriya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.