-
Junior Member
- Вес репутации
- 58
Прогрессивный вирус
Здравствуйте.
Началось все с того, что перестали отображаться скрытые файлы. Потом именно с моего компьютера перестала открываться моя страничка «в контакте», писал, что пароль не тот. Вчера вечером антивирус (авира) стал выдавать подряд сообщения о вирусах, которые нужно удалить. Затем стали вылазить на компе сообщения о том, что системные файлы повреждены и нужно вставить диск с виндой, чтобы все восстановить. Я диск вставляла, но он писал, что диск не тот.
Потом у меня комп вообще перестал работать в обычном режиме, только в безопасном и то не с первой попытки – т.е. он загружался, рабочий стол появлялся, но через пару секунд вис.
После утилитки dr.web вроде загрузился, интернет даже подключился.
Комп выдают постоянно какие-то сообщения об ошибках, все время пишет, что не может прочитать или найти диск и т.д. и т.п. И еще с каждой перезагрузкой не может открывать определенные приложения, т.е. сначала он не мог открывать файлы jpg и оперу, после перезагрузки картинки и оперу открывает, зато exe и архивы не может и все в таком духе.
И avz.exe у меня открылся, только после того, как я его переименовала, а до этого открывался и через 1с закрывался.
Вообщем, помогите пожалуйста!)))))))
Последний раз редактировалось NLO; 23.11.2010 в 23:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
QuarantineFile('C:\WINDOWS\urt4400.dll','');
DeleteFile('C:\WINDOWS\urt4400.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 58
скрипт выполнила, только ничего не изменилось
Последний раз редактировалось NLO; 23.11.2010 в 23:06.
-
Junior Member
- Вес репутации
- 58
-
такой лог http://www.gmer.net/ сделайте ...
-
-
Junior Member
- Вес репутации
- 58
не знаю, так сделала или нет
Последний раз редактировалось NLO; 23.11.2010 в 23:06.
-
деинсталируйте OUTPOSt и заново выполните скрипт и повторите логи авз
-
-
Junior Member
- Вес репутации
- 58
OUTPOSt удалила, скрипт выполнила.
Пока ничего не изменилось
-
Junior Member
- Вес репутации
- 58
Правда скрытые папки стали отображаться и в контакт вроде входит.
А ошибки так и вылазиют и программы с файлами так и не все открываются.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ
-
-
Junior Member
- Вес репутации
- 58
На первый взгляд стало немного лучше. Теперь при загрузке выдает только одно сообщение - рис.1 (ничего, что я картинки прикрепила?) и еще, когда я пытаюсь открыть диспетчер устройств - выдает ошибку рис.2.
Последний раз редактировалось NLO; 23.11.2010 в 23:18.
-
У вас файловый вирус Virus.Win32.Sality (Win32.Sector.5).
Пролечитесь с помощью LiveCD.
http://virusinfo.info/showthread.php?t=15927
После лечения, сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 58
Вообщем пролечилась я и Dr.Web LiveCD, и Live CD Vba32 Rescue. А до этого мне удалось скачать утилиту Dr.Web и проверить ей через безопасный режим (нашел и якобы исцелил за 200 инфицированных объектов и удалил парочку троянов) и через обычный (нашел 418 инфицированный объектов тоже якобы исцелил).
В итоге ничего так и не изменилось!
Вот новые логи+карантин от Live CD Vba32
Последний раз редактировалось NLO; 23.11.2010 в 23:18.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
DeleteService('aic32p');
QuarantineFile('C:\Documents and Settings\Гуж\Application Data\Microsoft\Installer\{444E008B-AB2B-4F10-AB44-840F1E0CE659}\NewShortcut1.BBD4A38C_B875_4E46_B27C_5CAECB0257C4.exe','');
QuarantineFile('C:\WINDOWS\system32\spool\d','');
DeleteFile('C:\WINDOWS\system32\spool\d');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\UDC','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Один вопрос. Надеюсь вы скачивали и записывали LiveCD на незараженной системе? Иначе есть нехорошая вероятность что все сканы зря.
-
-
Junior Member
- Вес репутации
- 58
LiveCD я записывала на диск на другом компе. На 100% не могу быть уверена, что он ничем не заражен, но видимых проявлений вроде никаких не было.
-
Junior Member
- Вес репутации
- 58
shapel, скрипт сделала. Все те же ошибки.
Карантин отправила.
Последний раз редактировалось NLO; 23.11.2010 в 23:18.
-
Подключите вашу флэшку (если есть),
пролечитесь этой утилитой http://support.kaspersky.ru/viruses/...?qid=208636131
Логи повторите.
-
-
Junior Member
- Вес репутации
- 58
Все равно те же ошибки выдает. Может это вообще не с вирусом связано???
Последний раз редактировалось NLO; 23.11.2010 в 23:18.
-
Выполните скрипт в avz:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
end.
карантин пришлите по правилам.
-