-
Junior Member
- Вес репутации
- 53
Помогите пожалуйста! Oбои с надписью YOUR SYSTEM IS INFECTED!
Здравтсвуйте!
Недавно, на рабочем столе появились обои с надписью YOUR SYSTEM IS INFECTED! смена обоев заблокирована! Dr Web нашёл около 700 инфицированных файлов,все вылечил. А всё без изменений. Только диспетчер задач вроде заработал.
Помогите пожалуйста!
Последний раз редактировалось bil3331; 25.10.2009 в 12:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Прошу прощения! Хотел почитать правила перед тем как постить. Только почему-то мой браузер не открывает эту страницу.Пишет:
You tried to access the address http://virusinfo.info/pravila.html, which is currently unavailable. Please make sure that the Web address (URL) is correctly spelled and punctuated, then try reloading the page.
Make sure your Internet connection is active and check whether other applications that rely on the same connection are working.
Что я делаю не так?
-
Хм.. Странно. Прочитайте и выполните
Вложение 172042
Последний раз редактировалось Шапельский Александр; 27.01.2010 в 17:48.
-
-
Junior Member
- Вес репутации
- 53
Не понимаю,что происходит. Та же история,что и с правилами.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Разобрался с правилами. Добавляю 3 лога. Буду очень призателен за помощь!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\b.exe','');
QuarantineFile('C:\WINDOWS\msb.exe','');
DelBHO('{C4250FDB-B497-4455-8774-9557082D1769}');
DelBHO('{C4250FDA-B497-4455-8774-9557082D1769}');
QuarantineFile('C:\WINDOWS\system32\0178.dll','');
QuarantineFile('C:\WINDOWS\system32\velplsme.exe','');
QuarantineFile('C:\WINDOWS\system32\lmssspr.exe','');
QuarantineFile('C:\WINDOWS\system32\iomssls.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\rxonawsmce.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zoaijbuq9.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zniruibiawlen3.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\zniruibiawlen3.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zoaijbuq9.sys');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\rxonawsmce.tmp');
DeleteFile('C:\WINDOWS\system32\iomssls.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','crsmons');
DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xisbcom');
DeleteFile('C:\WINDOWS\system32\velplsme.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opqlsys');
DeleteFile('C:\WINDOWS\system32\0178.dll');
DeleteFile('C:\WINDOWS\msb.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\b.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFile('C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
DeleteFile('C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Файл avz.exe запакуйте с паролем virus и также пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт. Выслал карантин. Логи новые сделал. Не понял где взять файл avz.exe.
-
Не понял где взять файл avz.exe.
Это исполняемый файл AVZ
Добавлено через 13 минут
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\2e.tmp');
TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
QuarantineFile('C:\WINDOWS\Temp\VRT74.tmp','');
QuarantineFile('C:\WINDOWS\Temp\VRT16.tmp','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\User\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\zlhqaumafey1.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\zgbasnsaoc3.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zwyfrtufiqwl3.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\zyklrlxoqm7.sys','');
QuarantineFile('c:\windows\system32\2e.tmp','');
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('d:\soft\avz4\avz.exe','');
DeleteService('zlhqaumafey1');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
DeleteFile('c:\windows\system32\2e.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\zwyfrtufiqwl3.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zyklrlxoqm7.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\zgbasnsaoc3.sys');
DeleteFile('C:\WINDOWS\system32\drivers\zlhqaumafey1.sys');
DeleteFile('C:\Documents and Settings\User\restorer32_a.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\Temp\VRT16.tmp');
DeleteFile('C:\WINDOWS\Temp\VRT74.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','209');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
Последний раз редактировалось Никита Соловьев; 27.10.2009 в 21:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Всё сделал. Система работает на последнем дыхании.Рабочий стол отключился.
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
У вас файловый вирус, АВЗ не лечит данную категорию зловредов.
Выполните действия, описанные в этой теме
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.foa ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Downloader.JMKV, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Cutwail-AB [Trj] )
- c:\windows\system32\drivers\zgbasnsaoc3.sys - Rootkit.Win32.Tent.aaa ( AVAST4: Win32:Agent-AFVS [Rtk] )
- c:\windows\system32\drivers\zwyfrtufiqwl3.sys - Rootkit.Win32.Tent.zz ( AVAST4: Win32:Agent-AFVS [Rtk] )
- c:\windows\system32\drivers\zyklrlxoqm7.sys - Rootkit.Win32.Agent.vgf ( AVAST4: Win32:Agent-AHBJ [Rtk] )
- c:\windows\system32\restorer32_a.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Downloader.JMKV, NOD32: Win32/Virut.NBP virus )
- c:\windows\system32\2e.tmp - Trojan.Win32.Vilsel.kyn ( DrWEB: Trojan.Siggen.11771, BitDefender: Trojan.Downloader.Wintu.1.Gen, AVAST4: Win32:Hupigon-LIE [Trj] )
- c:\windows\temp\vrt16.tmp - Trojan.Win32.VB.xud
- c:\windows\temp\vrt74.tmp - Trojan.Win32.VB.xur ( DrWEB: Trojan.Siggen.11820 )
-