7 ответов в этой теме

[tranzer]

Здравствуйте! Суть моего вопроса такова. На сайте писали, что данный вирус внесен в антивирусную БД обладателей антивируса. Я просканировал им систему, нашёл два обезвреженных и два инфицированных файла. После окончания сканирования два инфицированных ушло, а с каждым новым сканированием появлялись новые обезвреженные файлы, что наводило на мысли. Тогда пошёл дальше и прочел на форуме, что лечение вируса гораздо проще. Находим определенный параметр реестра, содержащий указанный путь к файлу. Трем этот параметр, затем находим этот файл в папке system32 и удаляем его. Я сделал всё, кроме последнего, т.к. забыл название файла. Но после того, как я потёр в реестре этот параметр, то и система вновь грузится стала нормально, и др. веб при повторном сканировании перестал находить якобы инфицированные файлы. Вроде бы как всё нормально, но подозрение-то есть, что файл остался сидеть в системной папке. Есть возможность проверить как-то это? И самое странное, что пишут на вашем сайте, что решение в лечении файла найдено, однако после лечения первого у меня система была с тормозами, браузер перекидывал на левый сайт с посылкой смс и т.д. Логов, к сожалению, уже нет.
Вот тема с доказательством, что не у меня одного такое http://www.cyberforu...read348416.html

Сообщение было изменено tranzer: 10 Октябрь 2011 - 20:54

[mrbelyash]

У меня тоже есть сомнение что куреит и 6 версия умеет лечить Маячок в памяти.

ИМХО, проблема в том что это типизированная запись,а она не исправляет Appinit_dll.

Можно было бы сделать особую запись,но....но.
Этот параметр пора было внести в проверку ключа при лечении.

Но увы и ах...Костя Юдин за этим не доглядел.....так оно и будет висеть.

[tranzer]

Да, точно, параметр находился в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ни куреит, ни антивирь мне не помогли. Я лишь убрал путь, который содержался в параметре, а наименование файла в папке system32 забыл. Помню, что оно какое-то кривое и начинался файл на букву f, но если я удалю действительно системный файл, то буду потом иметь геморрой.
Удалять папку полностью не хочется. Может есть утилита, которая точно излечивает данный вирус и сможет найти инфицированный файл?

[mrbelyash]

Да, точно, параметр находился в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ни куреит, ни антивирь мне не помогли. Я лишь убрал путь, который содержался в параметре, а наименование файла в папке system32 забыл. Помню, что оно какое-то кривое и начинался файл на букву f, но если я удалю действительно системный файл, то буду потом иметь геморрой.
Удалять папку полностью не хочется. Может есть утилита, которая точно излечивает данный вирус и сможет найти инфицированный файл?

Файл можете проверить на www.virustotal.com

[tranzer]

Так а как я его найду? Я не помню название. Сейчас вот сделал проверку HijackThis и сделал лог. Вот собственно он.

Прикрепленные файлы:

•  hijackthis.rar   2,09К   6 Скачано раз

[mrbelyash]

Сейчас он в памяти обнаруживается сканером?

[tranzer]

Неа. Я запускал HijackThis, и он нашёл 40 ошибок, потом 14 неудаляемых - видимо системных. Кое-что правда пришлось заново в автозагрузку пихнуть через msconfig. Сейчас запустил AVZ, тоже кое-что удаляет.

В точке восстановления к примеру удалено это:
"C:\System Volume Information\_restore{655060DB-FE63-4CDA-8458-308257965EE3}\RP1\A0000079.scr >>>>> Email-Worm.Win32.Zhelatin.akj успешно удален".
То-то я смотрю у меня небольшие лаги остались.

[mrbelyash]

значит уже его нет...активного

Сообщение было изменено mrbelyash: 10 Октябрь 2011 - 22:08