В общем тоже может быть дозвонка, z-connect и прочие звери, высылаю первые логи. Жду помощи и спасибо за помощь по предыдущей проблеме.
В общем тоже может быть дозвонка, z-connect и прочие звери, высылаю первые логи. Жду помощи и спасибо за помощь по предыдущей проблеме.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe',''); DeleteService('DllSrv Service Controler'); QuarantineFile('c:\windows.0\system32\drivers\dllsrv.exe',''); TerminateProcessByName('c:\windows.0\system32\drivers\dllsrv.exe'); DeleteFile('c:\windows.0\system32\drivers\dllsrv.exe'); DeleteFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\RECYCLER\S-51-9-25-3434476501-1644491961-601003313-1214\mgrsvn.exe'); DeleteFile('F:\RECYCLER\S-3-6-22-3434476501-1644491937-600003330-1213\DllSrv.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=56330
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
вот логи, если карантин не загрузился - попросите еще раз.
Ничего зловредного в логах нет. Соединение z-connect удалите. Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
вот скриншот при просмотре диска С: из Puppy Linux Live CD. также при работе в windows флешка оказалась заражена автораном
кстати пока загружен linux можно внаглую удалить z-connect?
На скриншоте не видно авторанов. Только мусор в виде двух exe-файлов. Их можете удалить из под любой ОС.
Если при выполнении скрипта она не была подключена, то неудивительно.
Добавлено через 1 минуту
Лучше повторите логи подключив все съемные носители.
Последний раз редактировалось Aleksandra; 05.10.2009 в 10:47. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Exe' шники удается удалить только из под линуха - винда не дает их удалить. сейчас попробую, а флешка была вставлена при работе скрипта и при последующей перезагрузке - либо ничего не удалилось, либо после удаления она опять заразилась.
сейчас подчищу все вручную и пришлю логи.
Вот логи, пред проверками из-под линуха подчистил корневые папки всех дисков, теперь вроде все чисто.
Ничего зловредного не увидела.
Сердце решает кого любить... Судьба решает с кем быть...
ну тогда будем считать что машинка излечена, спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe - Worm.Win32.AutoRun.axgm ( DrWEB: BackDoor.IRC.Flood.8 )
- f:\autorun.inf - Worm.Win32.AutoRun.gvf ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun virus, AVAST4: BV:AutoRun-G [Wrm] )
- f:\recycler\s-3-6-22-3434476501-1644491937-600003330-1213\dllsrv.exe - Backdoor.Win32.SdBot.kyj ( DrWEB: BackDoor.IRC.Sdbot.4724, BitDefender: Backdoor.Bot.89222, AVAST4: Win32:Trojan-gen )
- f:\recycler\s-51-9-25-3434476501-1644491961-601003313-1214\mgrsvn.exe - Trojan.Win32.Vaklik.fyj ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Generic.2413824, NOD32: Win32/AutoRun.IRCBot.CT worm, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Evgenium, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.