-
Junior Member
- Вес репутации
- 63
Помогите ПОЖАЛУЙСТА
У меня вирус. Устанавливаю программу, а она после пререзагрузки не запкскаетсяю Установил нортон,он написал, что заражены все ехе файлы. Просканировал AVZ/ что-то обнаружил. Смотрите самию жду помощи. Да и еще всплыло окно где часы Windows Security Alert. Что это и как убрать
Последний раз редактировалось Попов Алексей А; 09.02.2008 в 16:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
-
Отключить антивирус.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\admparses.dll (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll
O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing)
O4 - HKLM\..\Run: [C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\nvtuicpl.cpl','');
QuarantineFile('C:\WINDOWS\System32\AdvUninstCPL.cpl','');
QuarantineFile('C:\WINDOWS\inetloader.dll','');
QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\admparses.dll','');
QuarantineFile('C:\Program Files\Mouse Driver\Mouse Driver\3.5\MOUSE32A.EXE','');
QuarantineFile('C:\WINDOWS\CTHELPER.EXE','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\admparses.dll');
DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\inetloader.dll');
DeleteFile('C:\WINDOWS\system32\AClient.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12570
3.Сделайте новые логи после лечения и присоедините к следующему сообщению
P.S.Хорошая приманка для зверей получилась
-
-
Нелицензионная система без СП2. Словить можно все что угодно.
я бы посоветовал провериться, загрузившись с СД CureIt-beta.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
В Hijack в Delete an NT Service какие цифры вводить?
-
Сообщение от
Попов Алексей А
В Hijack в Delete an NT Service какие цифры вводить?
зачем? 023 ведь не нет в тех строчках, которые нужно удалять.
-
-
Junior Member
- Вес репутации
- 63
Все загрузил
Добавлено через 47 секунд
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe
этой строчки у меня небыло
Добавлено через 4 минуты
А на счет ехе файлов, это правда. Они все заражены или можно достать из карантина нортона?
Последний раз редактировалось Попов Алексей А; 19.09.2007 в 11:52.
Причина: Добавлено
-
Попробуй файлик из карантина нортона заслать на virutotal.com.
Результаты сюда выложи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
А файл какой? Любой? А логи которые прислал снова, они впорядке?
-
Любой, на Ваш выбор. Я новых логов не вижу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Файл 0A17519C.exe получен 2007.09.19 11:05:29 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 9/32 (28.13%)
Загрузка информации...
Ваш файл в очереди на позиции: ___.
Ожидаемое время старта между ___ и ___ .
Не закрывайте окно до окончания проверки.
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз.
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации.
Форматированные Печать результатов
Ваш файл просрочен или не существует.
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.
Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.
Email адрес:
Антивирус Версия Обновление Результат
AhnLab-V3 2007.9.19.0 2007.09.19 -
AntiVir 7.6.0.10 2007.09.19 W32/Hidrag.a
Authentium 4.93.8 2007.09.18 W32/Jeefo.A
Avast 4.7.1043.0 2007.09.18 -
AVG 7.5.0.485 2007.09.18 -
BitDefender 7.2 2007.09.19 Win32.Worm.Vb.DZ
CAT-QuickHeal 9.00 2007.09.18 -
ClamAV 0.91.2 2007.09.19 W32.Jeefo-3
DrWeb 4.33 2007.09.19 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.2.5147 2007.09.19 -
Ewido 4.0 2007.09.18 -
FileAdvisor 1 2007.09.19 -
Fortinet 3.11.0.0 2007.09.19 -
F-Prot 4.3.2.48 2007.09.18 W32/Jeefo.A
F-Secure 6.70.13030.0 2007.09.19 Virus.Win32.Hidrag.a
Ikarus T3.1.1.12 2007.09.19 -
Kaspersky 4.0.2.24 2007.09.19 Virus.Win32.Hidrag.a
McAfee 5122 2007.09.18 -
Microsoft 1.2803 2007.09.19 Virus:Win32/Jeefo.A
NOD32v2 2540 2007.09.19 -
Norman 5.80.02 2007.09.18 -
Panda 9.0.0.4 2007.09.19 -
Prevx1 V2 2007.09.19 -
Rising 19.41.20.00 2007.09.19 -
Sophos 4.21.0 2007.09.19 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.19 -
TheHacker 6.2.5.062 2007.09.19 -
VBA32 3.12.2.4 2007.09.19 -
VirusBuster 4.3.26:9 2007.09.18 -
Webwasher-Gateway 6.0.1 2007.09.19 Win32.Hidrag.a
Дополнительная информация
File size: 174181 bytes
MD5: df32070f09dd57bb2e2aa2708feddbb5
SHA1: 6ab56cb1e8631dba5ea5b3a814683533fc5375d8
packers: CryptFF
packers: XORCrypt
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Попов Алексей А; 09.02.2008 в 16:44.
-
Virus.Win32.Hidrag.a - данного зверя надо CureItом вытравлять.
Наши методы здесь слабо действуют. Это файловый вирус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Это как? Скажи пожалуйста, что и как делать
-
Скачивайте CureiT!: ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe (лучше скачать на заведомо чистой машине и записать на CD ) Проблемную машину перезагружайте в безопасном режиме и запускайте cureit!. ВНИМАНИЕ! Данная программа сначала проводит экспресс-проверку системы, по окончании которой вы должны САМИ отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Подробнее о Cureit! - здесь: http://www.freedrweb.com/cureit/?lng=ru
Только в вашем случае, нужно, наверное, попробовать не Cureit!, а установить антивирус Касперского - http://www.kaspersky.ru/productupdat...link=206910097 , получить пробный ключ и провести проверку им. Судя по вашему отчету, DrWeb эту заразу еще не знает
Последний раз редактировалось Numb; 19.09.2007 в 13:52.
-
-
После проверки cure-It желательно ее лог прислать. Он будет находится:
пуск - выполнить - %userprofile%\DoctorWeb
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Ага спасибо! Щас попробую!!!
-
Junior Member
- Вес репутации
- 63
Другая беда уже
После проверки CureIt и лечением всех файлов пропала командная строка (чистый экран), а explorer загружает проводник. Файлы прилагаются. Помогите плиз!!!
Последний раз редактировалось Попов Алексей А; 09.02.2008 в 16:44.
-
Junior Member
- Вес репутации
- 63
Нет рабочего стола. Хотя в проводнике он открывается
-
логи посмотрю. А лог Cure-It приложишь?
В AVZ Файл восст. системы п.5,8,16 отметить, нажать выполнить.
Последний раз редактировалось PavelA; 20.09.2007 в 12:16.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-