Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

NOD32 3.0 нашел червя, а удалить не может

qwect

Автор qwect
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

qwect Продвинутый

qwect

Опубликовано
Опубликовано

Nod32 3.0... нашел червя.Удалить не может.А именно Win32/Conficker.AA Worm...

Просит перезагрузиться и история повторяется.

Находится C:\WINDOWS\Temp\NOD351.tmp

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
Опубликовано
а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме

Невсегда, есть черви и прочая дрянь кторая блокирует Безопасный режим или продолжает в нем выполнятся.

Ссылка на комментарий
Поделиться на другие сайты
qwect Продвинутый

qwect

Опубликовано
  • Автор
Опубликовано
а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме

Пробовал,не удаляется вручную.Только переименовывается

 

 

 

to DaTa StartupMonitor.exe - это программа следит,чтобы другие в автозагрузку не лезли.По-моему удалять не стоит

 

Вот лог, который вы просили...

GMER_1.0.15.14972.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

(внимание: если вы скачивали gmer со случайным именем, замените в скрипте gmer.exe на имя скачанного exe-файла)

gmer.exe -del service rqcrijiww
gmer.exe -del service zbwlmze
gmer.exe -del file "C:\WINDOWS\system32\fspjbmii.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rqcrijiww"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zbwlmze"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qyahsqan"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rqcrijiww"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\zbwlmze"
gmer.exe -reboot

И запустите cleanup.bat

 

Сделать новый лог gmer

Ссылка на комментарий
Поделиться на другие сайты
qwect Продвинутый

qwect

Опубликовано
  • Автор
Опубликовано

Было сообщение,что не нашел 1 модуль и 2 ключа\ветки реестра.

cmd отработала,перезагрузился.

Вот лог,который Вы просили...

GMER_1.0.15.14972_new_.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В логе чисто.

 

Очистите временные файлы через Пуск – Программы – Стандартные – Служебные –Очистка диска или с помощью ATF Cleaner

– скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

– если вы используете Opera, нажмите Opera – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

 

Как ведет себя антивирус?

Ссылка на комментарий
Поделиться на другие сайты
qwect Продвинутый

qwect

Опубликовано
  • Автор
Опубликовано

Использую Ccleaner...Сечас попробую то,что вы предложили.

В папке C:\WINDOWS\Temp\ остался 1.tmp, который воспринимается NODом как червь. Еще появился странный фаил "hlktmp"...

Воспользовался программой...146Мб удалилось.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Отключить антивирус

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\1.tmp','');
DeleteFile('C:\WINDOWS\Temp\1.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты
qwect Продвинутый

qwect

Опубликовано
  • Автор
Опубликовано (изменено)

Отправил письмо с архивом карантина на newvirus@kaspersky.com.

Из папки TEMP он удалился...

 

 

а проблема вот какая.Я думал,что заражение тем,что мы удалили воздействовало на ПК.А именно: Живу в студенческом общежитии.Имеется локальная "общажная" сеть ну и интернет. Раньше,месяц назад,появлялось сообщение при включенном интернете General Host Controller... Закрываешь его,машина думает и всё вроде нормально,но в Диспетчере устройств не определяется сетевая карта и пропадает звук(с сообщением: что-то типa Не могу инициализировать Direct Sound) при просмотре фильмов... Сейчас ошибки не выскакивают,но звук пропадает...

Изменено пользователем qwect
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...