kibmastix Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 народ помогите разобраться с вирусом авторан.Пробовал лечить с помощью антиавторана, нода, доктор вебом - не помогло.Вирус проявляется в открытии локальных дисков в новом окне, не видны скрытые файлы.я нашел два файла на дисках, принадлежащих вирусу: igxv.cmd и autorun.inf. очень надеюсь на вашу помощь! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Необходимо подготовить логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 вот результаты проверки hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Secdrv', 4);StopService('Secdrv');QuarantineFile('D:\igxv.cmd','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\igxv.cmd','');QuarantineFile('C:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DeleteFile('C:\WINDOWS\system32\amvo1.dll');DeleteFile('C:\autorun.inf');DeleteFile('C:\igxv.cmd');DeleteFile('D:\autorun.inf');DeleteFile('D:\igxv.cmd');DeleteService('Secdrv');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(7);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин отправлять на akok<at>pisem.net с указанием ссылки на тему в теле сообщения Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe BitAccelerator - Adware.Win32.BHO.cc удалите Повторите логи Если играете в он-лайн игрушки готовтесь менять пароли. Изменено 7 мая, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 повторное сканирование не было найдено O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 (изменено) Вы BitAccelerator, решили оставить? Антивирус отключали перед выполнением скрипта? Нужно отключать. 1AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\Program Files\WebMoney Advisor\wmadvisor.dll','');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DelCLSID('08B0E5C0-4FCB-11CF-AAX5-81C01C608512');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Затем beginCreateQurantineArchive(GetAVZDirectory+'quarantinekibmastix.zip');end. quarantinekibmastix.zip отправлять на 54712<at>rambler.ru с указанием ссылки на тему в теле сообщения Повторите логи. Изменено 7 мая, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 повторное сканироваеие hijackthis.log virusinfo_syscheck.xml virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.xml virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Кроме BitAccelerator в логах больше ничего подозрительного нет. Как система поживает? Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 спасибо все отлично.BitAccelerator я удалял.Однако в моем компьютере появилась системная веб папка.А так большое спасибо!! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Значит отключим AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);end. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnLineGames.acyr C:\WINDOWS\system32\amvo1.dll - Trojan-PSW.Win32.OnLineGames.acyr C:\WINDOWS\system32\amvo.exe - новый, отправлю в вирлаб Как и ожидалось зловред крадет пароли от он-лайн игр. Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 8 мая, 2008 Автор Жалоба Поделиться Опубликовано 8 мая, 2008 у меня еще такой вопрос: как можно обезопасить себя от авторана, ведь ни нод, ни доктор веб его не видят, хоть и стоят новые базы Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 мая, 2008 Жалоба Поделиться Опубликовано 8 мая, 2008 (изменено) Нужно вообще отключить авторан как класс. http://www.softboard.ru/index.php?showtopic=37015&st=20 Изменено 8 мая, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти