Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Windows2000, Trojan.MulDrop.54140 поможете вылечить? (http://forum.oszone.net/showthread.php?t=258733)

aka AMIGO 16-04-2013 12:29 2133614

Windows2000, Trojan.MulDrop.54140 поможете вылечить?
 
Вложений: 1
На моем ПК нет программы антивируса, как, впрочем, нет их ни в каком ПК офиса.
Вот такая картинка в Cureit! http://img-fotki.yandex.ru/get/6432/..._-1-XL.jpg.jpg
Подозреваю, что словил при скачивании (или при запуске?) файла osl2000 http://yadi.sk/d/Ufr2mm8w45N56 (расширение *.exe я изменил на .ex_, предупреждаю, друзья мои: пожалуйста, аккуратней!)
Это небольшая утилита для выбора ОС при первоначальной загрузке. У меня их две: W2k,- рабочая повседневная ОС, и XP (без выхода в сеть и интернет).

Ребята, я в курсе, что надо 4 файла-лога, но у меня W2K, и запустилась из всех обязательных только одна: AVZ4.. Вот от неё и лог в приложении.

Вопрос: как мне удалить эти 3 вируса? Cureit! их не лечит.. а AVZ4 не посчитала их опасными, как видно из лога..

Sandor 16-04-2013 12:52 2133629

Не тот лог AVZ. Нужны virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG. А HijackThis у вас тоже не запускается?

aka AMIGO 16-04-2013 13:06 2133638

Друже, этих файлов в компе я не нашел.. их нет, как, впрочем и папки LOG, с хотя-бы малым намеком на принадлежность AVZ..
Цитата:

Цитата Sandor
virusinfo_syscure.zip и virusinfo_syscheck.zip »

Может быть, потому, что AVZ не посчитал их вирусом? (неумное, конечно, предположение...)

А HijackThis, как и оставшиеся упомянутые в Инструкции, тоже не запускается, сообщает, что не является приложением win32

Запустил еще раз AVZ4, лог отличается, есть две строки:
7. Эвристичеcкая проверка системы
>>> I:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (I:\autorun.inf)
>>> I:\lrgjpwkq.bat ЭПС: подозрение на скрытый автозапуск I:\autorun.inf [Autorun\Open]
Файл успешно помещен в карантин (I:\lrgjpwkq.bat)
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINNT\system32\hkcmd.exe]
Проверка завершена

На второй файл (I:\lrgjpwkq.bat) как раз и ругается Cureit!..

Sandor 16-04-2013 13:58 2133685

Задам наивный вопрос: вы AVZ распаковали или запускали из архива? Если распаковали, то в (распакованной) папке, например AVZ4, должна после выполнения стандартного скрипта появиться подпапка LOG.

aka AMIGO 16-04-2013 14:03 2133691

Цитата:

Цитата Sandor
Задам наивный вопрос: »

:)

развернул :)
http://img-fotki.yandex.ru/get/5626/..._-1-XL.bmp.jpg

SolarSpark 16-04-2013 14:03 2133692

Цитата:

Цитата aka AMIGO
запустилась из всех обязательных только одна: AVZ4.. »

а вы как ее запускали? Остальные утилиты пробуйте в безопасном режиме запустить
Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

если прям совсем неудача, давайте лог такой
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

Sandor 16-04-2013 14:04 2133694

Запускали от имени Администратора?

aka AMIGO 16-04-2013 14:19 2133708

Вложений: 2
Цитата:

Цитата Sandor
от имени Администратора? »

Да, я локальный админ (только для своего компа).
SolarSpark,
Йес, файлики появились, лечение произведено, но оно странное: файл *.bat помещен в карантин, но видимо, вирус тут-же создает новый такой-же.. После AVZ запустил cureit, те-же файлы, на том-же месте.. и так-же не удаляются.
и что это за директория "I:\ .." где батник находится?

с другой стороны, не батник надо удалять, а само тело трояна.. (

ЗЫ. сообразил, как htm присоединить: http://yadi.sk/d/GDN4ztq145c3O

Sandor 16-04-2013 14:55 2133734

Цитата:

Цитата SolarSpark
Остальные утилиты пробуйте в безопасном режиме запустить »

Пробовали?

aka AMIGO 16-04-2013 15:01 2133743

Цитата:

Цитата Sandor
Пробовали? »

Да не запускаются они, друже.. сообщение для всех одно: не является приложением win32..
ОС древняя.. и ничего поделать не могу.

ЗЫ. кстати, нашел, где эти bat-файлы лежат: на серверном диске с буквой "I:"
http://img-fotki.yandex.ru/get/4138/...89f_XL.bmp.jpg
кто их туда положил - не знаю, может сисадмины.. но у них не спросишь, сердитые сидят :)
и я не понимаю, каким образом с серверного диска может что-то стартовать?..

ЗЗЫ. Всё-таки поговорил с сисадминами, сказали вирус и принялись лечить.. Я успокоился, вина не моя..


Спасибо, уважаемые форумчане, за внимание и помощь! Успехов вам!

SolarSpark 16-04-2013 15:36 2133769

жаль, что не пришлось пролечить, вирье видно прекрасно
интересные у вас логи, нестандартное видение файлов...
если что-приходите)


Время: 07:44.

Время: 07:44.
© OSzone.net 2001-