Junior Member
Вес репутации
60
Прошу вас помогите!!!
Здравствуйте ребята! У меня опять вирус прошу вас о помощи. Отправляю вам логи, ещё такая штука у меня стоит анти вирус аваст дело в том что когда я подключаю интернет начинает выходить такое сообщения "у вас слишком много не нужной почты" и без останвки выскакивает пока не нажмешь кнопку не отпровлять, я её нажимаю и через некоторое время опять, а есть ещё кнопка продолжить, но я так поняла что надо нажимать не отпровлять. Вообщем помогите прошу!!! А ещё не могу зайти в форум virusinfo под своим поролем. Пришлось зайти под другим незнаю что такое делаю на востановления пороля приходит письмо только с именем!?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\AGENTA~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\WINDOWS\wupdsvc6.exe','');
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\system32\hhw.exe','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
DeleteFile('C:\DOCUME~1\AGENTA~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
Junior Member
Вес репутации
60
карантин уже давно отправила вы его получили?
C:\Documents and Settings\Agent A\Local Settings\Temp\winlogon.exe Trojan-Proxy.Win32.Small.hb
C:\WINDOWS\system32\ati2psag.sys Trojan-Spy.Win32.Banker.fov
C:\WINDOWS\wupdsvc6.exe Trojan-Psw.win32.LdPinch.dzy
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\wupdsvc6.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи....
меняйте пароли у вас был пинч ....
Junior Member
Вес репутации
60
отправляю вам повторные логи.
Вложения
Visiting Helper
Вес репутации
63
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('msime80.exe','');
QuarantineFile('msfir80.exe','');
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\system32\hhw.exe','');
DeleteFile('%WINDIR%\SYSTEM32\MSFIR80.EXE');
DeleteFile('%WINDIR%\SYSTEM32\MSIME80.EXE');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
O24 - Desktop Component 0: (no name) - http://www.avtobusy.ru/f/asis/usfnqtu1hcz.jpg
Junior Member
Вес репутации
60
всё сделала как говорили. Появилась папка на рабочем столе (backups) что это и что мне с ней делать?
Visiting Helper
Вес репутации
63
Эту папку создал HiJackThis, для возможной отмены фиксов. После того как мы вылечим Ваш компьютер эту папку можно будет удалить.
Сделайте новые логи.
Согласна приложению 3 правил, посмотрите карантин, отметьте файлы:
C:\WINDOWS\update.exe
C:\WINDOWS\system32\hhw.exe
Нажмите на кнопку архивировать и полученный архив, пожалуйста, пришлите к нам, по ссылке в шапке Вашей темы.
Junior Member
Вес репутации
60
Все сделала, карантин отправила (правда авторизоваться забыла((), ничего страшного?
Новые логи:
Вложения
выполните скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
BC_DeleteSvc('FCI');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
через AVZ-сервис-поиск файлов на диске поищите update.exe ... если найдется пришлите по правилам...
очистите временные интернет файлы ...
Junior Member
Вес репутации
60
нашелся только один файл, отправила, но это когда-то была подключена веб-камера.
пофиксите ...
Код:
O4 - HKLM\..\Run: [C:\WINDOWS\update.exe] C:\WINDOWS\update.exe
сделайте новые логи ...
Junior Member
Вес репутации
60
Вложения
очистите временные интернет файлы ...
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\wupdsvc0.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
еще раз логи ....
Junior Member
Вес репутации
60
файлы удалили в агенте а, а в агенте 1 не могу, т.к. вход туда запаролен.
новые логи:
Вложения
Junior Member
Вес репутации
60
Вчера отправила вам логи. Что делать дальше?
1.В avz выполнить скрипт :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
BC_QrFile('C:\WINDOWS\system32\hhw.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 правил
Junior Member
Вес репутации
60
карантин отправила. После выполнения скрипта комп перезагрузился и появилась надпись на белом экране: пропали настройки обозревателя рабочего стола. и кнопка востоновить рабочий стол я нажала и рабочий стол стал обычным. что это было?
Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\hhw.exe,
Повторите логи.
Junior Member
Вес репутации
60
Вложения