Помогите ПОЖАЛУЙСТА

**Попов Алексей А** · 19.09.2007, 00:36

У меня вирус. Устанавливаю программу, а она после пререзагрузки не запкскаетсяю Установил нортон,он написал, что заражены все ехе файлы. Просканировал AVZ/ что-то обнаружил. Смотрите самию жду помощи. Да и еще всплыло окно где часы Windows Security Alert. Что это и как убрать

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Попов Алексей А** · 19.09.2007, 00:38

Заранее спасибо!!!

**drongo** · 19.09.2007, 00:58

Отключить антивирус.

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\admparses.dll (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll
O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing)
O4 - HKLM\..\Run: [C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\nvtuicpl.cpl','');
 QuarantineFile('C:\WINDOWS\System32\AdvUninstCPL.cpl','');
 QuarantineFile('C:\WINDOWS\inetloader.dll','');
 QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\system32\admparses.dll','');
 QuarantineFile('C:\Program Files\Mouse Driver\Mouse Driver\3.5\MOUSE32A.EXE','');
 QuarantineFile('C:\WINDOWS\CTHELPER.EXE','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe','');
 QuarantineFile('c:\windows\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
 DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\admparses.dll');
 DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
 DeleteFile('C:\WINDOWS\inetloader.dll');
 DeleteFile('C:\WINDOWS\system32\AClient.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12570
3.Сделайте новые логи после лечения и присоедините к следующему сообщению
P.S.Хорошая приманка для зверей получилась

**PavelA** · 19.09.2007, 10:23

Нелицензионная система без СП2. Словить можно все что угодно.
я бы посоветовал провериться, загрузившись с СД CureIt-beta.

**Попов Алексей А** · 19.09.2007, 11:08

В Hijack в Delete an NT Service какие цифры вводить?

**drongo** · 19.09.2007, 11:14

Сообщение от Попов Алексей А

В Hijack в Delete an NT Service какие цифры вводить?

зачем? 023 ведь не нет в тех строчках, которые нужно удалять.

**Попов Алексей А** · 19.09.2007, 11:52

Все загрузил

Добавлено через 47 секунд

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe
этой строчки у меня небыло

Добавлено через 4 минуты

А на счет ехе файлов, это правда. Они все заражены или можно достать из карантина нортона?

**PavelA** · 19.09.2007, 12:36

Попробуй файлик из карантина нортона заслать на virutotal.com.
Результаты сюда выложи.

**Попов Алексей А** · 19.09.2007, 13:02

А файл какой? Любой? А логи которые прислал снова, они впорядке?

**PavelA** · 19.09.2007, 13:04

Любой, на Ваш выбор. Я новых логов не вижу.

**Попов Алексей А** · 19.09.2007, 13:08

Файл 0A17519C.exe получен 2007.09.19 11:05:29 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО

Результат: 9/32 (28.13%)
Загрузка информации...
Ваш файл в очереди на позиции: ___.
Ожидаемое время старта между ___ и ___ .
Не закрывайте окно до окончания проверки.
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз.
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации.
Форматированные Печать результатов
Ваш файл просрочен или не существует.
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.

Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.
Email адрес:

Антивирус Версия Обновление Результат
AhnLab-V3 2007.9.19.0 2007.09.19 -
AntiVir 7.6.0.10 2007.09.19 W32/Hidrag.a
Authentium 4.93.8 2007.09.18 W32/Jeefo.A
Avast 4.7.1043.0 2007.09.18 -
AVG 7.5.0.485 2007.09.18 -
BitDefender 7.2 2007.09.19 Win32.Worm.Vb.DZ
CAT-QuickHeal 9.00 2007.09.18 -
ClamAV 0.91.2 2007.09.19 W32.Jeefo-3
DrWeb 4.33 2007.09.19 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.2.5147 2007.09.19 -
Ewido 4.0 2007.09.18 -
FileAdvisor 1 2007.09.19 -
Fortinet 3.11.0.0 2007.09.19 -
F-Prot 4.3.2.48 2007.09.18 W32/Jeefo.A
F-Secure 6.70.13030.0 2007.09.19 Virus.Win32.Hidrag.a
Ikarus T3.1.1.12 2007.09.19 -
Kaspersky 4.0.2.24 2007.09.19 Virus.Win32.Hidrag.a
McAfee 5122 2007.09.18 -
Microsoft 1.2803 2007.09.19 Virus:Win32/Jeefo.A
NOD32v2 2540 2007.09.19 -
Norman 5.80.02 2007.09.18 -
Panda 9.0.0.4 2007.09.19 -
Prevx1 V2 2007.09.19 -
Rising 19.41.20.00 2007.09.19 -
Sophos 4.21.0 2007.09.19 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.19 -
TheHacker 6.2.5.062 2007.09.19 -
VBA32 3.12.2.4 2007.09.19 -
VirusBuster 4.3.26:9 2007.09.18 -
Webwasher-Gateway 6.0.1 2007.09.19 Win32.Hidrag.a
Дополнительная информация
File size: 174181 bytes
MD5: df32070f09dd57bb2e2aa2708feddbb5
SHA1: 6ab56cb1e8631dba5ea5b3a814683533fc5375d8
packers: CryptFF
packers: XORCrypt

**Попов Алексей А** · 19.09.2007, 13:10

Вот логи

**PavelA** · 19.09.2007, 13:26

Virus.Win32.Hidrag.a - данного зверя надо CureItом вытравлять.
Наши методы здесь слабо действуют. Это файловый вирус.

**Попов Алексей А** · 19.09.2007, 13:36

Это как? Скажи пожалуйста, что и как делать

**Numb** · 19.09.2007, 13:45

Скачивайте CureiT!: ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe (лучше скачать на заведомо чистой машине и записать на CD ) Проблемную машину перезагружайте в безопасном режиме и запускайте cureit!. ВНИМАНИЕ! Данная программа сначала проводит экспресс-проверку системы, по окончании которой вы должны САМИ отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Подробнее о Cureit! - здесь: http://www.freedrweb.com/cureit/?lng=ru
Только в вашем случае, нужно, наверное, попробовать не Cureit!, а установить антивирус Касперского - http://www.kaspersky.ru/productupdat...link=206910097 , получить пробный ключ и провести проверку им. Судя по вашему отчету, DrWeb эту заразу еще не знает

**PavelA** · 19.09.2007, 13:49

После проверки cure-It желательно ее лог прислать. Он будет находится:
пуск - выполнить - %userprofile%\DoctorWeb

**Попов Алексей А** · 19.09.2007, 13:52

Ага спасибо! Щас попробую!!!

**Попов Алексей А** · 20.09.2007, 11:55

После проверки CureIt и лечением всех файлов пропала командная строка (чистый экран), а explorer загружает проводник

. Файлы прилагаются. Помогите плиз!!!

**Попов Алексей А** · 20.09.2007, 11:58

Нет рабочего стола. Хотя в проводнике он открывается

**PavelA** · 20.09.2007, 12:01

логи посмотрю. А лог Cure-It приложишь?

В AVZ Файл восст. системы п.5,8,16 отметить, нажать выполнить.

Помогите ПОЖАЛУЙСТА (заявка № 12570)

Опции темы

Помогите ПОЖАЛУЙСТА

Другая беда уже

Похожие темы

Помогите пожалуйста

Пожалуйста помогите вирусы у меня, трояны и тд.. пожалуйста!

Помогите пожалуйста, тема уже создавалась. Помогите плиз.

Помогите пожалуйста!

ПОЖАЛУЙСТА ПОМОГИТЕ

Ваши права в разделе