kibmastix Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 народ помогите разобраться с вирусом авторан.Пробовал лечить с помощью антиавторана, нода, доктор вебом - не помогло.Вирус проявляется в открытии локальных дисков в новом окне, не видны скрытые файлы.я нашел два файла на дисках, принадлежащих вирусу: igxv.cmd и autorun.inf. очень надеюсь на вашу помощь! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Необходимо подготовить логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 вот результаты проверки hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Secdrv', 4);StopService('Secdrv');QuarantineFile('D:\igxv.cmd','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\igxv.cmd','');QuarantineFile('C:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DeleteFile('C:\WINDOWS\system32\amvo1.dll');DeleteFile('C:\autorun.inf');DeleteFile('C:\igxv.cmd');DeleteFile('D:\autorun.inf');DeleteFile('D:\igxv.cmd');DeleteService('Secdrv');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(7);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин отправлять на akok<at>pisem.net с указанием ссылки на тему в теле сообщения Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe BitAccelerator - Adware.Win32.BHO.cc удалите Повторите логи Если играете в он-лайн игрушки готовтесь менять пароли. Изменено 7 мая, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 повторное сканирование не было найдено O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 (изменено) Вы BitAccelerator, решили оставить? Антивирус отключали перед выполнением скрипта? Нужно отключать. 1AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\Program Files\WebMoney Advisor\wmadvisor.dll','');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DelCLSID('08B0E5C0-4FCB-11CF-AAX5-81C01C608512');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Затем beginCreateQurantineArchive(GetAVZDirectory+'quarantinekibmastix.zip');end. quarantinekibmastix.zip отправлять на 54712<at>rambler.ru с указанием ссылки на тему в теле сообщения Повторите логи. Изменено 7 мая, 2008 пользователем wise-wistful Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 повторное сканироваеие hijackthis.log virusinfo_syscheck.xml virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.xml virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Кроме BitAccelerator в логах больше ничего подозрительного нет. Как система поживает? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 7 мая, 2008 Автор Жалоба Поделиться Опубликовано 7 мая, 2008 спасибо все отлично.BitAccelerator я удалял.Однако в моем компьютере появилась системная веб папка.А так большое спасибо!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 Значит отключим AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);end. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 мая, 2008 Жалоба Поделиться Опубликовано 7 мая, 2008 C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnLineGames.acyr C:\WINDOWS\system32\amvo1.dll - Trojan-PSW.Win32.OnLineGames.acyr C:\WINDOWS\system32\amvo.exe - новый, отправлю в вирлаб Как и ожидалось зловред крадет пароли от он-лайн игр. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
kibmastix Опубликовано 8 мая, 2008 Автор Жалоба Поделиться Опубликовано 8 мая, 2008 у меня еще такой вопрос: как можно обезопасить себя от авторана, ведь ни нод, ни доктор веб его не видят, хоть и стоят новые базы Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 мая, 2008 Жалоба Поделиться Опубликовано 8 мая, 2008 (изменено) Нужно вообще отключить авторан как класс. http://www.softboard.ru/index.php?showtopic=37015&st=20 Изменено 8 мая, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.