Olmarik.AJL

**Shagakak** · 28.01.2012, 06:03

Здравствуйте. NOD32 обнаружил указанный вирус, удалить его не может. AVPTool его не видит, как и другие антивирусы. По выделенке сильный исходящий трафик, невозможно загрузить ни одну страницу. Windows XP. Помогите. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.01.2012, 06:04

Уважаемый(ая) Shagakak, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 28.01.2012, 09:32

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\aadrive32.exe','');
 QuarantineFile('D:\WINDOWS\system32\87.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('D:\WINDOWS\system32\87.exe');
 DeleteFile('D:\WINDOWS\aadrive32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=115693).

Обновите базы AVZ и сделайте новые логи.

**Shagakak** · 29.01.2012, 16:54

Все сделано, сообщение о вирусе по-прежнему выскакивает. Новые логи:

**thyrex** · 29.01.2012, 23:33

Сделайте лог полного сканирования МВАМ

**Shagakak** · 01.02.2012, 09:39

Проблема сохраняется.

**thyrex** · 02.02.2012, 12:34

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Что с проблемой?

**Shagakak** · 02.02.2012, 19:56

Установить обновления для Windows проблематично, т.к. забивается исходящий трафик и страницы не открываются. После сканирования и очистки в МБАМ проблема сохраняется, вылетает сообщение в NOD32 при запуске Windows. Попробую прогнать еще раз по всем процедурам, поставлю IE8.

**thyrex** · 03.02.2012, 00:23

Сделайте лог ComboFix

**Shagakak** · 03.02.2012, 10:35

Проблема, похоже, решена. Все обновления поставил, ИЕ8 установил. Вроде все чисто. Спасибо.

**thyrex** · 03.02.2012, 20:59

Код:

d:\documents and settings\Admin\Application Data\1C
d:\documents and settings\Admin\Application Data\1C\1CEStart\1CEStart.cfg
d:\documents and settings\Admin\Application Data\1C\1CEStart\ibases.v8i
d:\documents and settings\Admin\Application Data\1C\1Cv82\1cv8.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\1cv8strt.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\071523a4-516f-4fce-ba4b-0d11ab7a1893\1cv8cmn.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\071523a4-516f-4fce-ba4b-0d11ab7a1893\vrs-cache\cache.1CD
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\1cv8.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\1cv8c.pfl
d:\documents and settings\Admin\Application Data\1C\1Cv82\438decf6-7fa5-4d2d-9fba-c150c708e8c8\vrs-cache\cache.1CD
d:\documents and settings\Admin\Application Data\1C\1Cv82\ExtCompT\registry.xml
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\Характеристика 1С_Бухгалтерии 8.htm
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\Инструкция по переходу с редакции 1_6.htm
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\Совместное использование конфигураций Управление торговлей 11 и Бухгалтерия предприятия.htm
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\Совместное использование конфигураций Управление торговлей и Бухгалтерия предприятия.htm
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\1Cv8.cf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\1Cv8.dt
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\1cv8.mft
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\1Cv8new.dt
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\Convert\Выгрузка данных в Бухгалтерию предприятия редакции 2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\EanG000.ttf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\enaof.xml
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\okof.xml
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\ReadMe.txt
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\1CMoebiusFP_v2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\ATOLFiscalPrinters_v2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\CrystalsPiritFR01K.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\IncotexMercuryFP_v2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\KKSSparkFP_v2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\ShtrihMFiscalPrinters_v2.epf
d:\documents and settings\Admin\Application Data\1C\1Cv82\tmplts\1c\AccountingBase\2_0_22_1\TradeWareEpf\VersionTKasbiFR01KFP_v2.epf
d:\documents and settings\All Users\Application Data\1C
d:\documents and settings\All Users\Application Data\1C\1CEStart\1CEStart.cfg
d:\documents and settings\All Users\Application Data\1C\1Cv82\conn8211.pfl
d:\documents and settings\All Users\Application Data\1C\licenses\file0.lic
d:\windows\system32\Пузыри.scr
d:\windows\system32\odbcad32.exe
d:\windows\system32\ssField Lines.scr
d:\windows\system32\ssRibbons.scr
d:\windows\system32\SYSINTERNALS_BLUESCREEN.SCR

Восстановите так

**CyberHelper** · 04.02.2012, 20:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Backdoor.Win32.Inject.wps ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.52959, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeAlert-BWZ [Trj] )
2. d:\\windows\\aadrive32.exe - Backdoor.Win32.Inject.wps ( DrWEB: Trojan.Packed.22255, BitDefender: Gen:Variant.Kazy.50470, AVAST4: Win32:FakeAlert-BVT [Trj] )
3. d:\\windows\\system32\\87.exe - Trojan-Spy.Win32.Zbot.czpr ( DrWEB: Trojan.Packed.22255, BitDefender: Trojan.Generic.KDV.491716, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Olmarik.AJL (заявка № 115693)

Опции темы

Olmarik.AJL

Это понравилось:

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Итог лечения

Похожие темы

Olmarik

Olmarik

Win32/Olmarik

Olmarik

Olmarik

Метки для этой темы

Ваши права в разделе