Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Нужна помощь в лечении от вирусов (http://forum.oszone.net/showthread.php?t=132156)

kvg2007 16-02-2009 14:51 1040134
Нужна помощь в лечении от вирусов
 
Всем привет.Вчера появилась проблема с вирусами.Стоит антивирус NOD32 ,при входе в интернет(Корбина) NOD тутже выдает сообщение о вирусах(один из них-Qhosts) на предложение удалить вирус NOD сообщает что файл заблокирован и удаление невозможно,после чего выдается сообщение об ошибке.Также перестали отображаться скрытые файлы и папки.Глубокая проверка NODом,AVZ и DR.Web lave CD ни каких вирусов не обнаруживает.Возможно ли лечение без переустановки XP?Спасибо.

kvg2007 16-02-2009 20:46 1040513
Вложений: 1
Вот что получилось после проверки.Dr.Web ничего не нашел.

Pili 16-02-2009 22:23 1040606
kvg2007, Здравствуйте. NOD какой файл находит?
Для предотвращения заражения в ходе лечения отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe
O9 - Extra button: (no name) - DctMapping - (no file)
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiH075C.sys','');
 QuarantineFile('C:\WINDOWS\wciactrl.exe','');
 QuarantineFile('C:\WINDOWS\system32\txsocm32.dll','');
 QuarantineFile('C:\WINDOWS\system32\frnscli32.dll','');
 DeleteFile('C:\WINDOWS\system32\frnscli32.dll');
 DeleteFile('C:\WINDOWS\system32\txsocm32.dll');
 DeleteFile('C:\WINDOWS\wciactrl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него мне в ПМ.
Сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

kvg2007 17-02-2009 20:39 1041578
Привет.Все сделал,только не понял куда отправить,что такое user15802[at]mail.ru?Да NOD находит Kruptik.HK

iskander-k 17-02-2009 20:49 1041599
Цитата:
Цитата kvg2007
только не понял куда отправить,что такое user15802[at]mail.ru »
Это почтовый адрес - E-mail. Создаете письмо и вкладываете карантин и отправляете на user15802[at]mail.ru

zeroua 17-02-2009 20:51 1041601
kvg2007, [at] это @ а значит полноценный почтовый адрес ...

Pili 18-02-2009 07:49 1041941
kvg2007, по Касперскому
frnscli32.dll - Trojan.Win32.Agent2.dsp
txsocm32.dll - Trojan-Downloader.Win32.Agent.bhsv
wciactrl.exe - Trojan.Win32.Buzus.alox
Видимо с помощью AVPTool вы не проверялись, а в правилах это есть.
Цитата:
Цитата kvg2007
Да NOD находит Kruptik.HK »
Цитата:
Цитата Pili
NOD какой файл находит? »
Kruptik.HK - это классификация зловреда.
Жду новые логи.


Время: 03:47.

Время: 03:47.
© OSzone.net 2001-