NOD32 3.0 нашел червя, а удалить не может

[qwect]

Nod32 3.0... нашел червя.Удалить не может.А именно Win32/Conficker.AA Worm...

Просит перезагрузиться и история повторяется.

Находится C:\WINDOWS\Temp\NOD351.tmp

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[DaTa]

а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме

Невсегда, есть черви и прочая дрянь кторая блокирует Безопасный режим или продолжает в нем выполнятся.

[qwect]

а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме

Пробовал,не удаляется вручную.Только переименовывается

 

 

 

to DaTa StartupMonitor.exe - это программа следит,чтобы другие в автозагрузку не лезли.По-моему удалять не стоит

 

Вот лог, который вы просили...

GMER_1.0.15.14972.log

[Сергей 1]

thyrex

Дайте ссылку откуда вы про гмер во 2 посте скопировали. Ваша личка отключена поэтому прошу тут.

[qwect]

Вот лог, который вы просили...

GMER_1.0.15.14972.log

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

(внимание: если вы скачивали gmer со случайным именем, замените в скрипте gmer.exe на имя скачанного exe-файла)

gmer.exe -del service rqcrijiww
gmer.exe -del service zbwlmze
gmer.exe -del file "C:\WINDOWS\system32\fspjbmii.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rqcrijiww"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zbwlmze"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qyahsqan"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rqcrijiww"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\zbwlmze"
gmer.exe -reboot

И запустите cleanup.bat

 

Сделать новый лог gmer

[Сергей 1]

Спасибо за ссылку. А что русского нет варианта ссылки?

Изменено 22 июня, 2009 пользователем Сергей 1

[qwect]

Было сообщение,что не нашел 1 модуль и 2 ключа\ветки реестра.

cmd отработала,перезагрузился.

Вот лог,который Вы просили...

GMER_1.0.15.14972_new_.log

[thyrex]

В логе чисто.

 

Очистите временные файлы через Пуск – Программы – Стандартные – Служебные –Очистка диска или с помощью ATF Cleaner

– скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

– если вы используете Opera, нажмите Opera – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

 

Как ведет себя антивирус?

[qwect]

Использую Ccleaner...Сечас попробую то,что вы предложили.

В папке C:\WINDOWS\Temp\ остался 1.tmp, который воспринимается NODом как червь. Еще появился странный фаил "hlktmp"...

Воспользовался программой...146Мб удалилось.

[ТроПа]

Ну а после удаления как, проблемы ещё наблюдаются?

[qwect]

Не удаляется никак((

Защищенный фаил говорит...

[thyrex]

Отключить антивирус

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\1.tmp','');
DeleteFile('C:\WINDOWS\Temp\1.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Что с проблемой?

[qwect]

Отправил письмо с архивом карантина на newvirus@kaspersky.com.

Из папки TEMP он удалился...

 

 

а проблема вот какая.Я думал,что заражение тем,что мы удалили воздействовало на ПК.А именно: Живу в студенческом общежитии.Имеется локальная "общажная" сеть ну и интернет. Раньше,месяц назад,появлялось сообщение при включенном интернете General Host Controller... Закрываешь его,машина думает и всё вроде нормально,но в Диспетчере устройств не определяется сетевая карта и пропадает звук(с сообщением: что-то типa Не могу инициализировать Direct Sound) при просмотре фильмов... Сейчас ошибки не выскакивают,но звук пропадает...

Изменено 24 июня, 2009 пользователем qwect