Здравствуйте!:-)
У меня вот такая проблемка. Появился вирус и я его никак не могу искоренить.
Очень надеюсь, что вы мне сможете помочь!
Здравствуйте!:-)
У меня вот такая проблемка. Появился вирус и я его никак не могу искоренить.
Очень надеюсь, что вы мне сможете помочь!
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
Выполните скрипт в AVZ
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\userinit.exe',''); QuarantineFile('D:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('D:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('D:\WINDOWS\system32\atiatbxx.sys',''); QuarantineFile('D:\WINDOWS\system32\svshost.dll',''); QuarantineFile('D:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('d:\temp\winlogon.exe',''); QuarantineFile('d:\windows\system32\wininet.exe',''); QuarantineFile('D:\WINDOWS\system32\qz.dll',''); QuarantineFile('D:\WINDOWS\system32\qz.sys',''); DeleteFile('d:\windows\system32\wininet.exe'); DeleteFile('d:\temp\winlogon.exe'); DeleteFile('D:\WINDOWS\system32\ovrscn.dll'); DeleteFile('D:\WINDOWS\system32\svshost.dll'); DeleteFile('D:\WINDOWS\system32\ovrscn.sys'); DeleteFile('D:\WINDOWS\system32\ovwscn.sys'); DeleteFile('D:\WINDOWS\userinit.exe'); DeleteFile('D:\WINDOWS\system32\qz.dll'); DeleteFile('D:\WINDOWS\system32\qz.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 10.07.2007 в 15:07.
Вдогонку, почистите наконец временные файлы интернета, папку D:\Temp\
и почему не выполнен пункт 7 правил ? Немедленно это сделать!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Восстановление системы я отключил. А вот папку сейчас почищу логи отошлю!Спасибо за оперативный ответ :-)
Вот, что получилось после выполненного скрипта.
По-моему, стало чисто. :-) За что Вам большое спасибо!Сильно выручили!
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
Пофиксите с помощью Hijackthis строки:Обратите внимание, что одна из строк - сервис и фиксится немного по-другому.Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing) O23 - Service: FCI - Unknown owner - D:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10951 , как написано в прил. 3 правилКод:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\??\D:\WINDOWS\system32\atiatbxx.sys',''); QuarantineFile('d:\windows\system32\packager.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Карантин закачал. Спасибо!
Добавлено через 8 минут
Выздоровление компа близко?
Последний раз редактировалось ghostil; 10.07.2007 в 17:03. Причина: Добавлено сообщение
Результаты проверки присланных файлов с virustotal:
D:\WINDOWS\system32\atiatbxx.sys:d:\windows\system32\packager.dll:Код:Authentium 4.93.8 07.09.2007 W32/Goldun.gen3 eTrust-Vet 30.8.3777 07.10.2007 Win32/ProcHide!generic Fortinet 2.91.0.0 07.10.2007 Haxdor!tr F-Prot 4.3.2.48 07.09.2007 W32/Goldun.gen3 Microsoft 1.2704 07.10.2007 Backdoor:Win32/Haxdoor Sophos 4.19.0 07.06.2007 Troj/Haxdor-Gen Symantec 10 07.10.2007 Hacktool.RootkitВсе-таки, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:Authentium 4.93.8 07.09.2007 W32/Goldun.gen1 F-Prot 4.3.2.48 07.09.2007 W32/Goldun.gen1 Ikarus T3.1.1.8 07.10.2007 Trojan-Spy.Win32.Goldun.lw NOD32v2 2389 07.10.2007 probably a variant of Win32/Spy.BZub Panda 9.0.0.4 07.10.2007 Suspicious file Sophos 4.19.0 07.06.2007 Mal/Behav-102Система будет перезагружена. После перезагрузки, если останется, пофиксите в Hijackthis строчкуКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\atiatbxx.sys'); DeleteFile('d:\windows\system32\packager.dll'); DeleteFile('\??\D:\WINDOWS\system32\atiatbxx.sys'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.и сделайте новые логи, начиная с п.10 правилКод:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - d:\windows\system32\packager.dll
да, какой липкий вирус оказался, да не один!
Спасибо большое за скрипт, сегодня уже не успею,а завтра выложу обязательно логи!
Извините, что так долго молчал. Не давали к компьютеру этому подобраться.
Так вот, последний скрипт я выполнил, а вот пофиксить не смог, строчки этой HiJackThis не выдал мне.
Сейчас выложу получившиеся логи, буду ждать от вас ответа с нетерпением.
Вот и логи!Прощу ознакомиться,если у кого есть свободная минутка.
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
Похоже всё. Только почистите временные файлы, отключите не нужные сервисы ( net meeting например )
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо большое за помощь!Файлы почистил!
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.