Решена Последствия Joleee.NF

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kirey, 24 фев 2009.

Статус темы:
Закрыта.
  1. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Здраствуйте!
    Нод32 ругнулся на некий win32 joleee.nf. Сначала вроде сам все удалил, но предкпреждение выскакивало. С помощью банального Removeit pro вроде все удалилось, но выскочило предупреждение, что мол windws не может найти путь к C:/WINDOWS/Servces.exe. Насколько я знаю такого и не должно быть. Теперь вроде все в норме,но хотелось бы убедиться окончательно.
    Removeit pro кстати удалил еще и следующее: sys32.pmtf3
    sys32.videocore
    sys32.w95inf16
    sys32.services (видимо именно из за этого выскакивало сообщение)

    Заранее спасибо)

    [info]Убрал карантин[/info]
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    virusinfo_cure.zip - это карантин и он на этом этапе нам не интересен.

    Acrobat 6.0 - обновитесь до актуальной версии Acrobat 9.0.

    Обновите Java

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\aklb8wya.sys');
     DeleteService('aklb8wya');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Повторите логи.
     
  3. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Спасибо за помощь и советы. Про акробат очень в тему. Давно уже хотел обновить и все никак))

    Письмо отправил, логи оставляю.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d98542-b1a4-11dd-9f9f-806d6172696f}]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Обновите IE до последней версии.

    Как самочуствие?
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    В карантин ничего стоящего не попало.
     
  6. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Самочувствие абсолютно в норме. Никаких симптомов не наблюдается вроде.
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Это хорошо.
     
  8. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Спасибо за помощь)
     
Статус темы:
Закрыта.

Поделиться этой страницей