AVZ смог запустить только полиморфный и из безопасного режима.
Логи прилагаются.
AVZ смог запустить только полиморфный и из безопасного режима.
Логи прилагаются.
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); BC_Importall; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Загрузитесь в обычном режиме и повторите логи AVZ . AVZ запускайте обычный.
Карантин выслал.
Вот новые логи.
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Базы AVZ обновить, логи переделать...
Обновил. Переделал.
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('aswArKrn'); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YBBC4PWN\file[1].exe',''); QuarantineFile('C:\WINDOWS\system32\3d3234c.exe',''); QuarantineFile('4DMSG.DLL',''); QuarantineFile('c:\windows\expmodule.exe',''); QuarantineFile('C:\DOCUME~1\Spartak\LOCALS~1\Temp\aswArKrn.sys',''); QuarantineFile('C:\WINDOWS\system32\wmmest.dll',''); DeleteFile('C:\DOCUME~1\Spartak\LOCALS~1\Temp\aswArKrn.sys'); DeleteFile('C:\WINDOWS\system32\3d3234c.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3d3234c'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YBBC4PWN\file[1].exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('G:\autorun.inf'); BC_ImportDeletedList; ExecuteRepair(9); ExecuteRepair(8); ExecuteRepair(6); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось Гриша; 06.10.2009 в 16:30.
Карантин выслал..Логи прилагаю
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Выполните скрипт в avz с подключенной флэшкой
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\wmmest.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделаете лог virusinfo_syscheck.
Последний раз редактировалось Bratez; 06.10.2009 в 17:16.
autorun.inf на ФЛЭХЕ, специально создан с помощью USBVaccine
Смотрю процессы по Ctrl+alt+Del что-то страшно всё ещё...
какие net1.exe итд...
отправляю опять логи
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Выполните скрипт в avz в безопасном режиме:
ПК перезагрузится.Код:begin SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\net.exe',''); QuarantineFile('C:\WINDOWS\system32\net1.exe',''); DeleteFile('C:\WINDOWS\system32\wmmest.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин по правилам.
Сделайте новый лог virusinfo_syscheck.
Последний раз редактировалось snifer67; 06.10.2009 в 19:43.
Загружаюсь под собой... Рабочий стол на месте
Загружаюсь под пользователем, который работает на этом компьютере - Рабочего стола нет!
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Хмм, опять он на месте!
Попробуйте удалить файл
C:\WINDOWS\system32\wmmest.dll
с помощью IceSword, как описано здесь:
http://virusinfo.info/showthread.php?t=17228
I am not young enough to know everything...
Удалил... Перегрузился... Он опять на месте...
Удалил полностью из реестра ветку HKLM-Software-Microsoft-Windows NT-CurrentVersion-WinLogo2
После этого выполнил в AVZ скрипт с удалением файла...
Перзагрузился...
Вроде файлика нет страшного...
Лог прилагаю. Проверьте.
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Зашел под необходимым пользователем.
Рабочий стол виден.
Но опять в процессах висят net.exe, net1.exe
Последний раз редактировалось visahouse; 01.03.2010 в 11:45.
Так что скажете по последним логм? Чисто?
Зловредов в логе не видно.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Установите Internet Explorer 8.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.gwv ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.2522710, NOD32: Win32/AutoRun.FakeAlert.DF worm, AVAST4: Win32:Trojan-gen )
- c:\windows\expmodule.exe - Trojan.Win32.Agent.czho ( DrWEB: Trojan.DownLoad.40730 )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\ybbc4pwn\file[1].exe - Trojan.Win32.Sasfis.pdr ( DrWEB: Trojan.Siggen.5073, BitDefender: Trojan.Dropper.Oficla.A, NOD32: Win32/Oficla.AT trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\msvcrt57.dll - Packed.Win32.Krap.x ( DrWEB: Trojan.Packed.682, BitDefender: Trojan.Generic.IS.609958, AVAST4: Win32:Preald-AR [Drp] )
- c:\windows\system32\wmmest.dll - Trojan-Downloader.Win32.Small.kgl ( DrWEB: Trojan.DownLoad.40730, BitDefender: Trojan.Generic.2507160 )
Уважаемый(ая) visahouse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.