Iomhar Dealgach Опубликовано 12 мая, 2010 Жалоба Поделиться Опубликовано 12 мая, 2010 (изменено) -=-=- Здравствуйте! Комп брата поймал заразу - NOD32 сообщает: Файл C:\WINDOWS\System32\Drivers\TempDD.sys инфицирован - Win32/Olmarik.ZC троянская программа После этого NOD32 кидает этот файл в карантин, Какая-то программа или сама система создает новый там же, и так много сотен раз... Прошу Вашей помощи - все действия провел и логи прилагаю! СПАСИБО! =-=-= hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 12 мая, 2010 пользователем Iomhar Dealgach Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 мая, 2010 Жалоба Поделиться Опубликовано 12 мая, 2010 Скачайте Dr.Web LiveCD запустите проверку Доложитесь о результатах, повторте логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 12 мая, 2010 Автор Жалоба Поделиться Опубликовано 12 мая, 2010 =-=-= После AVZ4 стандартных скриптов и перезагрузки: NOD32 один раз словил и убрал в свой карантин Win32/Olmarik.ZC еще в других файлах: C:\WINDOWS\System32\drivers\OLD72F.tmp C:\WINDOWS\System32\dllcache\termdd.sys.new По ходу еще 72 Win32/Olmarik.ZC в C:\WINDOWS\System32\Drivers\TempDD.sys Но после очистки карантина пока тихо... DrWeb ничего не нашел после перезагрузки - лог прилагаю! Ну и обновляю еще раз логи других инструментов... Посмотрите теперь... Есть ли еще зараза и может ли она проявить себя через некоторое время? СПАСИБО!!! -=-=- drweb32w.log hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip drweb32w.log hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 мая, 2010 Жалоба Поделиться Опубликовано 12 мая, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('j:\autorun.inf','');QuarantineFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll','');DeleteFile('C:\System Volume Information\_restore{CCE7CB44-F451-4049-B934-CE27F6BABB0B}\RP166\A0030112.dll');DeleteFile('j:\autorun.inf');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);RebootWindows(true);end. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Вы поаккуратней с портабельным софтом, проблем не оберетесь. Повторите логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 13 мая, 2010 Автор Жалоба Поделиться Опубликовано 13 мая, 2010 (изменено) Тут уже A0030112.dll отловился NOD32, а j:\autorun.inf - это полезная вакцина Panda USB Vaccine, это даже нечитаемый пустой файл 16 байт, его только форматирование убирает. Надо редактировать скрипт и выполнять его потом? MBAM прогоню и отчитаюсь позже... (МВАМ у меня правда тоже портабельная :-) )... СПАСИБО! Изменено 13 мая, 2010 пользователем Iomhar Dealgach Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 13 мая, 2010 Жалоба Поделиться Опубликовано 13 мая, 2010 Нормальную версию скачайте обновите базы. Или непонятно написано? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 13 мая, 2010 Автор Жалоба Поделиться Опубликовано 13 мая, 2010 Скачал-поставил-обновил-прогнал нормальную... Что-то она еще подчистила... Лог прилагаю... Теперь выполнять скрипт AVZ или уже не надо? СПАСИБО!!! mbam_log_2010_05_13__23_03_07_.txt mbam_log_2010_05_13__23_03_07_.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 мая, 2010 Жалоба Поделиться Опубликовано 14 мая, 2010 Что с проблемами? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.