Вирус! Выручайте!
поймал у меня бухгалтер вирус. неизвестно как и откуда. признаваться где была не хочет. начал было лечение, антивиры не видят его. погуглил и наткнулся на 2 подобных случая у вас. попробовал оба метода:
1. http://virusinfo.info/showthread.php?t=57724
2. http://virusinfo.info/showthread.php?t=61149
ни один не помог. выручайте меня.
логи прикладываю.
Последний раз редактировалось ДИМАС; 12.01.2010 в 12:53.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Отключите восстановление системы
2) Выполните скрит в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\photo_id.exe'); TerminateProcessByName('c:\documents and settings\Бухгалтер1\photo_id.exe'); QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe',''); QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe',''); QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe',''); QuarantineFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe',''); DeleteService('mpr_freader'); QuarantineFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS',''); QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll',''); QuarantineFile('c:\windows\system32\photo_id.exe',''); QuarantineFile('c:\documents and settings\Бухгалтер1\photo_id.exe',''); DeleteFile('c:\documents and settings\Бухгалтер1\photo_id.exe'); DeleteFile('c:\windows\system32\photo_id.exe'); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS'); DeleteFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); DeleteFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe'); DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe'); DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
3) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) Сделайте все логи по правилам:
- virusinfo_syscure.zip
- virusinfo_syscheck.zip
- hijackthis.log
GHETTO/STREET WORKOUT
файл отправлен:
Файл сохранён как 091126_073053_virus_4b0e047d6881f.zip
Размер файла 1142761
MD5 75aa5cf7167c2e349d1cbaee84b0b61d
табличка исчезла!
интернет работает!
Карантин получили.
Логи для контроля всё же желательно повторите.
GHETTO/STREET WORKOUT
вот логи
Последний раз редактировалось ДИМАС; 12.01.2010 в 12:53.
В логах чисто.
Осталось почистить папку System Volume Information (Восстановления системы):
Выполните скрит в AVZ:
Компьютер перезагрузится.Код:begin DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073987.exe'); DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073988.exe'); DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073989.exe'); BC_ImportDeletedList; BC_Activate; RebootWindows(false); end.
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
GHETTO/STREET WORKOUT
спасибо! все работает!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[1].exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[10.exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[11.exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\photo_id.exe - Trojan-Downloader.Win32.Mutant.gsl ( DrWEB: Trojan.Click.29425 )
- c:\documents and settings\бухгалтер1\главное меню\программы\автозагрузка\nntsys32.exe - Backdoor.Win32.Bredolab.bcj ( DrWEB: Trojan.Botnetlog.11, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\tugts8yz.sys - Trojan-Ransom.Win32.Agent.hb ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )
- c:\windows\system32\photo_id.exe - Trojan-Downloader.Win32.Mutant.gsl ( DrWEB: Trojan.Click.29425 )
Уважаемый(ая) ДИМАС, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
