Решена Последствия Joleee.NF

[kirey]

Здраствуйте!
Нод32 ругнулся на некий win32 joleee.nf. Сначала вроде сам все удалил, но предкпреждение выскакивало. С помощью банального Removeit pro вроде все удалилось, но выскочило предупреждение, что мол windws не может найти путь к C:/WINDOWS/Servces.exe. Насколько я знаю такого и не должно быть. Теперь вроде все в норме,но хотелось бы убедиться окончательно.
Removeit pro кстати удалил еще и следующее: sys32.pmtf3
sys32.videocore
sys32.w95inf16
sys32.services (видимо именно из за этого выскакивало сообщение)

Заранее спасибо)

Информация

Убрал карантин

 

[akok]

virusinfo_cure.zip - это карантин и он на этом этапе нам не интересен.

Acrobat 6.0 - обновитесь до актуальной версии Acrobat 9.0.

Обновите Java

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\aklb8wya.sys');
 DeleteService('aklb8wya');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

 

[kirey]

Спасибо за помощь и советы. Про акробат очень в тему. Давно уже хотел обновить и все никак))

Письмо отправил, логи оставляю.

 

[akok]

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0d98542-b1a4-11dd-9f9f-806d6172696f}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Обновите IE до последней версии.

Как самочуствие?

 

[akok]

В карантин ничего стоящего не попало.

 

[kirey]

Самочувствие абсолютно в норме. Никаких симптомов не наблюдается вроде.

 

[akok]

Это хорошо.

 

[kirey]

Спасибо за помощь)