Jump to content
СофтФорум - всё о компьютерах и не только

непонятный авторан


Recommended Posts

народ помогите разобраться с вирусом авторан.Пробовал лечить с помощью антиавторана, нода, доктор вебом - не помогло.Вирус проявляется в открытии локальных дисков в новом окне, не видны скрытые файлы.я нашел два файла на дисках, принадлежащих вирусу: igxv.cmd и autorun.inf. очень надеюсь на вашу помощь!

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Secdrv', 4);StopService('Secdrv');QuarantineFile('D:\igxv.cmd','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\igxv.cmd','');QuarantineFile('C:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DeleteFile('C:\WINDOWS\system32\amvo1.dll');DeleteFile('C:\autorun.inf');DeleteFile('C:\igxv.cmd');DeleteFile('D:\autorun.inf');DeleteFile('D:\igxv.cmd');DeleteService('Secdrv');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(7);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Карантин отправлять на akok<at>pisem.net с указанием ссылки на тему в теле сообщения

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

BitAccelerator - Adware.Win32.BHO.cc удалите

Повторите логи

Если играете в он-лайн игрушки готовтесь менять пароли.

Edited by akoK
Link to comment
Share on other sites

Вы BitAccelerator, решили оставить?

Антивирус отключали перед выполнением скрипта? Нужно отключать.

1AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\Program Files\WebMoney Advisor\wmadvisor.dll','');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe');DelCLSID('08B0E5C0-4FCB-11CF-AAX5-81C01C608512');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Затем

beginCreateQurantineArchive(GetAVZDirectory+'quarantinekibmastix.zip');end.

quarantinekibmastix.zip отправлять на 54712<at>rambler.ru с указанием ссылки на тему в теле сообщения

Повторите логи.

Edited by wise-wistful
Link to comment
Share on other sites

спасибо все отлично.BitAccelerator я удалял.Однако в моем компьютере появилась системная веб папка.А так большое спасибо!!

Link to comment
Share on other sites

Значит отключим

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginRegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);end.
Link to comment
Share on other sites

C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnLineGames.acyr

C:\WINDOWS\system32\amvo1.dll - Trojan-PSW.Win32.OnLineGames.acyr

C:\WINDOWS\system32\amvo.exe - новый, отправлю в вирлаб

Как и ожидалось зловред крадет пароли от он-лайн игр.

Link to comment
Share on other sites

у меня еще такой вопрос: как можно обезопасить себя от авторана, ведь ни нод, ни доктор веб его не видят, хоть и стоят новые базы

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...