Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   P2P-Worm.Win32.Palevo.bbu (http://forum.oszone.net/showthread.php?t=190817)

seman 10-11-2010 19:17 1539478
P2P-Worm.Win32.Palevo.bbu
 
касперским вирус убрал.

проверьте логи пожалуйста

zirreX 10-11-2010 19:46 1539492
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-6716985510-5433261462-255192653-6154\syscr.exe');
DeleteFile('C:\Documents and Settings\avia\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Повторите логи AVZ

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Вы добавили в "Надежные узлы" ?
O15 - Trusted Zone: http://*.amadeus.com
O15 - Trusted Zone: http://*.amadeusvista.com
O15 - Trusted Zone: http://*.amadeusproweb.com (HKLM)
O15 - Trusted Zone: http://*.amadeusvista.com (HKLM)

Установите Internet Explorer 8
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Также советую удалить один из антивирусов, Dr.Web или KIS 7.
Ваша версия KIS 7 не актуальна.

seman 10-11-2010 22:06 1539579
Цитата:
Цитата Fedin
Вы добавили в "Надежные узлы" ? »
ДА. они нужны.

Цитата:
Цитата Fedin
Ваша версия KIS 7 не актуальна. »
касперского нет. службы удалены. сама утилитка родная от каспера говорит что его нет на компе, в реестре запись осталась просто. вручную вроде убрал.

новые логи

zirreX 10-11-2010 23:00 1539609
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\mbr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Лог MBAM прикрепите.

Повторите лог AVZ, но только "Стандартный скрипт №2"
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

KIS 7 удалите утилитой kavremover


Время: 17:17.

Время: 17:17.
© OSzone.net 2001-