[решено] Вирус Руссо Туристо!

Котяра · Конфигурация компьютера

http://forum.oszone.net/post-717373-2.html

iskander-k · Конфигурация компьютера

Выложите логи в соответствии с этими инструкциями.

Вредная черепашка · Отправлено: **19:05, 25-05-2009** | #4

Спасибо огромное за инструкции!! Наконец-то разобралась что к чему и кажется все получилось, хотя делала не по порядку

На всякий случай прикрепляю логи..

Вредная черепашка · Отправлено: **19:11, 25-05-2009** | #5

Блин, кажется один лог не прикрепился :-)
Вот он

thyrex · Конфигурация компьютера

По логам ничего зловредного у Вас нет.
Вот Вам информация с ключами реестра и правильными значениями параметров

Если отключена возможность выбора свойств папки

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000

или

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

Если отключено отображение скрытых и системных файлов

Код:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
"SuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

Котяра · Конфигурация компьютера

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\wuauserv.dll','');
 QuarantineFile('C:\DOCUME~1\alisa\LOCALS~1\Temp\mc21.tmp','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

Файл "quarantine.zip" появится в папке AVZ. Его выслать на koshkin@rbcmail.ru

okshef · Конфигурация компьютера

Цитата Вредная черепашка:

На компе стоит НОД 32 и Доктор Веб Сканер »

определитесь с выбором

Вредная черепашка · Отправлено: **17:57, 26-05-2009** | #9

Всем огромное спасибо за помощь! Все заработало, вирусов больше нет.. Остался только маленький вопрос - почему НОД 32 Бизнес-Версия не увидел этот вирус, когда я открывала флэшку?((( Я на этот антивир так нарадоваться не могла )))

Котяра · Конфигурация компьютера

Цитата Вредная черепашка:

почему НОД 32 Бизнес-Версия не увидел этот вирус, когда я открывала флэшку? »

В его базе отсутствовали записи для удаления этого вируса.
Правда, в архив не попала копия файл "mc21.tmp". Поищите этот файл в папке C:\Documents and Settings\alisa\Local Settings\Temp, если найдете - пришлите на koshkin@rbcmail.ru