Подозрение на вирусы

[Apollon]

комп жутко тормазит

Изменено 22 января, 2009 пользователем Kapral

[akoK]

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe (avz00003.dta) - отправьте в вирлаб.

 

Обновите базы AVZ.

Система загружена в режиме защиты от сбоев (SafeMode)

Почему?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\winsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи

[Apollon]

Обновите базы AVZ.

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

 

Почему?

Отвечаю - в нормальном режиме система работать практический отказывалась, пришлось загружатся в безопасном режиме т.к даже та же флешка открывалась 30-40 минут, а WKS 6.0 с обновленными базами что то нечего невидит (странно!) за скрипт спасибо, завтро все ваши инструкций по ликвидаций ЧС на ПК

[Apollon]

повтор логов

Изменено 22 января, 2009 пользователем Kapral
Удалил логи с карантином

[akoK]

Очистите Task Scheduler (планировщик задач)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\winsvc32.exe');
DeleteFile('C:\WINDOWS\winsvc32.exe');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Включите AVZPM и повторите логи в обычном режиме.

 

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe

C:\WINDOWS\winsvc32.exe

 

 

И зачем к архиву с логами добавлять карантин?

[Apollon]

akoK

И зачем к архиву с логами добавлять карантин?

по запарке все запихал, из вирлаба ответили, что там следующие содержание:

service32.exe_ - Worm.Win32.AutoRun.ygv,

Vsp.sys - Rootkit.Win32.Small.qb,

winsvc32.exe_ - Trojan-Downloader.Win32.VB.kfl

 

Детектирование файлов будет добавлено в следующее обновление.

ВирусЛаб ЛК! =)