Вставил флешку, получил сразу массу вирусов на нее.
Вложений: 1
Как бы почистить этот раритет?
|
Здравствуйте!
Вы заражены файловым вирусом! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте и прикрепите новые логи.
+
На форуме ЛК попросите закрыть тему. Одновременное лечение на разных ресурсах Вам же повредит. |
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\svchost','');
QuarantineFile('C:\Documents and Settings\Ira\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\Ira\Local Settings\Application Data\smss.exe','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(10);
ExecuteREpair(17);
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог МВАМ |
Вложений: 1
Прошу прощения, не нашел приложение 2 и ссылку Прислать запрошенный карантин вверху темы. Отправил (вернее попытался отправить) через форму
http://www.oszone.net/virusnet/. Скорее всего карантин пустой, по размеру. |
Вложений: 1
не прикрепил в сообщение выше.
|
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Цитата:
Обнаруженные файлы:
C:\Program Files\WinRAR\Patcher.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00001.dta (Worm.Autorun.FW) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00002.dta (Trojan.Agent.FF) -> Действие не было предпринято.
|
Файлы
Код:
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\system32\pentnt.exe
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
CollectionLog почему-то у Вас не полный. Войдите в папку \AutoLogger\RSIT и запустите файл rsit.exe
Полученные два лога упакуйте и прикрепите к следующему сообщению. |
Вложений: 3
карантин отправил rsit не делал логи скорее всего потому, что его нет в папке названной вами. предположительно, его убивает старенький нод. несмотря на то что нажал кнопку выход, скопировать рсит на компьютер так и не смог.
|
Цитата:
C:\WINDOWS\twunk_32.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\pentnt.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
|
Эти файлы не нужно было удалять в MBAM, а
Цитата:
Цитата Sandor
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы »
|
Что сейчас с основной проблемой? |
Цитата:
Цитата Sandor
C:\WINDOWS\twunk_32.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\pentnt.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено. »
|
восстановил
Цитата:
Цитата Sandor
Что сейчас с основной проблемой? »
|
не видно заражения флешек |
Карантин отправляли?
Проделайте также следующее: - Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
- Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
- Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
- Введите sfc /scannow и нажмите Энтер.
- Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
- После того как закончится проверка в командной строке введите команду:
Код:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
- После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
|
Просто было:
Цитата:
Цитата Sandor
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Цитата:
Обнаруженные файлы:
C:\Program Files\WinRAR\Patcher.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00001.dta (Worm.Autorun.FW) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00002.dta (Trojan.Agent.FF) -> Действие не было предпринято. »
|
Все и удалил кроме указанных
Цитата:
Цитата Sandor
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. »
|
это проблема. найти winxpsp1
c sp3 я так понимаю не пойдет? |
Цитата:
Цитата probatf
Все и удалил кроме указанных »
|
Виноват, ошибся и не указал те два файла.
Вы сказали
Отправили карантин? |
карантин отправил сразу по форме, не дошел?
продублировал по почте |
Первый дошел. Я про эти два файла:
Цитата:
Цитата Sandor
Файлы
Код:
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\system32\pentnt.exe
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. »
|
|
Цитата:
Цитата Sandor
Первый дошел. Я про эти два файла: »
|
я тоже про них. яндекс к сожалению, не отправил письма. увидел угрозу, несмотря на пароль.
еще раз отправил через форму |
Скорее всего ложное срабатывание.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Рекомендации после лечения. |
Спасибо, попробую все это сделать. Подозреваю, что все упрется в sp3
|
Время: 21:10.
© OSzone.net 2001-
