Помогите вылечить вирус Worm.Win32.FlayStudio.
ранее тема создавалась но ее закрыли http://virusinfo.info/showthread.php?t=58964
во вложение архив с карантином.
[moderated: карантин в тему прикреплять нельзя!]
вирус Worm.Win32.FlayStudio
Помогите вылечить вирус Worm.Win32.FlayStudio.
ранее тема создавалась но ее закрыли http://virusinfo.info/showthread.php?t=58964
во вложение архив с карантином.
[moderated: карантин в тему прикреплять нельзя!]
Последний раз редактировалось Bratez; 11.12.2009 в 17:08. Причина: убрал вложение
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделайте логи в соответствии с правилами:
http://virusinfo.info/showthread.php?t=1235
I am not young enough to know everything...
перезалил карантин, создал по правилам
Карантин это не логи?
Нет. Агнцы отдельно, козлища отдельно.
сразу бы сказали што карантин не нужен, и то што в той теме прописано делать не надо. а начать все самого начала.
короче не важно. сделал логи он и во вложении.
извиняюсь за недопонимание.
Подключите свои съемные носители (флэшка, плеер и т.п.) и оставьте подключенными до конца лечения.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\559D4D\64E95A.EXE',''); QuarantineFile('C:\WINDOWS\system32\C6625A\ZC-8E63B.EXE',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\cnvpe.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\dp1.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\HtmlView.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\internet.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\krnln.fnr'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\RegEx.fnr'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\eAPI.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\shell.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\spec.fne'); DeleteFile('C:\WINDOWS\system32\C6625A\dp1.fne'); DeleteFile('C:\WINDOWS\system32\C6625A\eAPI.fne'); DeleteFile('C:\WINDOWS\system32\C6625A\krnln.fnr'); DeleteFile('C:\WINDOWS\system32\C6625A\shell.fne'); DeleteFile('C:\WINDOWS\system32\C6625A\ZC-8E63B.EXE'); DeleteFile('C:\WINDOWS\system32\559D4D\64E95A.EXE'); DeleteFile('C:\WINDOWS\innounp.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63319).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
логи во вложении, карантин по ссылке в шапке
Чисто.Что с проблемой ?
Установите Internet Explorer 8
проблема та же.
но еще не обновлял IE, это обязательно?
Добавлено через 1 час 47 минут
так же еще вылезает окно при загрузке, в котором написано непонятными символами. единственное что можно разобрать это: http://dywt.com.cn.
предлагает нажать ОК, нажимаешь окно исчезает и вроде как ничего не меняется. можно как-то убрать это окно?
Последний раз редактировалось tim--ka; 16.12.2009 в 23:11. Причина: Добавлено
Я же просил обновить!Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Логи делались с подключенной флэшкой?
Обновите базы AVZ и сделайте заново.
Уточните, в чем проявляется
проблема та же.
I am not young enough to know everything...
новые логи во вложении.
да с флешками.
проявления такие:
постоянно вылазит ошибка о котором отписывал в предыдущем посте.
открываеться окно в експлоере на какойто китайский сайт с иероглифами
и нод постоянно ругаеться по этой ошибке Worm.Win32.FlayStudio, чтото изолирует и удаляет.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\dp1.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\eAPI.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\HtmlView.fne'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\krnln.fnr'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\RegEx.fnr'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_N4\shell.fne'); DeleteFile('C:\WINDOWS\system32\559D4D\64E95A.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
сделано.
Чисто. Надеюсь, проблема решена?
Обновите базы своему Ноду, а то он что-то мышей не ловит
I am not young enough to know everything...
Вроде как проблема решена, надеюсь не повторится.
нод поставил наконец то четвертый, надеюсь он будет более полезен.
Спасибо огромное Вам!!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\c6625a\zc-8e63b.exe - not-a-virus:AdWare.Win32.FlyStudio.l
- c:\windows\system32\559d4d\64e95a.exe - Trojan-Downloader.Win32.FlyStudio.gz ( DrWEB: Win32.HLLW.Autoruner.4360, BitDefender: Dropped:Trojan.Generic.1619522 )
Уважаемый(ая) tim--ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
