-
Junior Member
- Вес репутации
- 51
Проблема при лечении P2P-Worm.Win32.Palevo
При обнаружении P2P-Worm.Win32.Palevo KIS 2010 зависает проверка и/или лечение системы. Также при работающем антивирусе работоспособность компьютера падает практически до нуля. При выгруженном система работает без заметных проблем.
Сканирование и лечение системы CureIt'ом проблему не решило.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\etlkyrml.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\yrvckzdl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\uipdeldh.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ttgelred.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\raxyocow.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\oabcsrch.sys','');
DeleteService('yrvckzdl');
DeleteService('ttgelred');
DeleteService('twqxuane');
DeleteService('uipdeldh');
DeleteService('oabcsrch');
DeleteService('qshgxboq');
DeleteService('raxyocow');
DeleteService('etlkyrml');
DeleteFile('C:\WINDOWS\System32\Drivers\oabcsrch.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qshgxboq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\raxyocow.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ttgelred.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\twqxuane.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uipdeldh.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\yrvckzdl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\etlkyrml.sys');
DeleteFile('C:\WINDOWS\TEMP\tmp1093.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось starman; 01.06.2010 в 16:01.
-
1.удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\znmoxwjd.sys','');
DeleteService('znmoxwjd');
DeleteFile('C:\WINDOWS\System32\Drivers\znmoxwjd.sys');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-