Groz 0 Опубликовано 29 августа, 2009 Share Опубликовано 29 августа, 2009 Помогите, пожалуйста, со следующей проблемой. 1. Принесли комп с данным вирем (PC Antispyware 2010). 2. Установил на уже зараженный комп KAV2010, не запускается. Переименовал kav в lolop, запустился, но не работает файловый антивирус, да и вообще ничего. 3. Regedit не запускается. 4. AVZ не запускался, переименовал в sdafsdaf. Запустился, поисправлял всякого, но после перезагрузки опять повылезало. 5. HijackThis (переименованный в htlol) показал много всяких подозрительных вещей, включая braviax и Antispyware 2010, на которые я зачем-то нажал Fix, с тех пор их нет в логах, а проблема не исчезла Файлы прилагаются. Спасибо. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
antispy 7 Опубликовано 29 августа, 2009 Share Опубликовано 29 августа, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('cru629.dat',''); QuarantineFile('C:\Documents and Settings\САЛТИНСКИЙ\Главное меню\Программы\Автозагрузка\ikowin32.exe',''); QuarantineFile('C:\WINDOWS\system32\logon.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv311239915803.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); DeleteService('ewdmaudn'); QuarantineFile('C:\DOCUME~1\2EBB~1\LOCALS~1\Temp\ewdmaudn.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\o2mmb.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\System32\drivers\91944fa9.sys',''); QuarantineFile('C:\WINDOWS\System32\setrysvc.exe',''); QuarantineFile('c:\documents and settings\САЛТИНСКИЙ\mset.exe',''); TerminateProcessByName('c:\documents and settings\САЛТИНСКИЙ\mset.exe'); QuarantineFile('c:\windows\system32\mset.exe',''); TerminateProcessByName('c:\windows\system32\mset.exe'); QuarantineFile('c:\windows\system32\ati2evxx.exe',''); DeleteFile('c:\windows\system32\mset.exe'); DeleteFile('c:\documents and settings\САЛТИНСКИЙ\mset.exe'); DeleteFile('C:\WINDOWS\System32\drivers\91944fa9.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\DOCUME~1\2EBB~1\LOCALS~1\Temp\ewdmaudn.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe'); DeleteFile('C:\WINDOWS\Temp\wpv311239915803.exe'); DeleteFile('C:\WINDOWS\system32\logon.exe'); DeleteFile('C:\Documents and Settings\САЛТИНСКИЙ\Главное меню\Программы\Автозагрузка\ikowin32.exe'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение. Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Groz 0 Опубликовано 31 августа, 2009 Автор Share Опубликовано 31 августа, 2009 Пока ничего не помогло. Предположительно из-за записей типа DOCUME~1 в скрипте, могу ошибаться. Жду ответа от newvirus. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 Новые логи подготовьте Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 Пока ничего не помогло. Предположительно из-за записей типа DOCUME~1 в скрипте, могу ошибаться.Жду ответа от newvirus. Ну так за один раз может и не помочь, судя по всему у вас комплексное заражение. Так что действительно ждём логов и от Malwarebytes' Anti-Malware тоже лог что он удалил нужно увидеть. Цитата Ссылка на сообщение Поделиться на другие сайты
Fasawe 69 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 По памяти скажу, что встречал модификацию этого вируса, но за 2009 год. Там он прописывался в C:\Documents and Settings\{User}\Application Data\Crusial Soft как файл msas2009.exe и этот же файл был виден в автозагрузке с полным путем к нему... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.