Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Puper и Vundo (заявка № 17458)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33

    Thumbs up Puper и Vundo

    McAfee обнаруживает в system 32 два вируса - Puper и Vundo.dll, удалить не может, вручную так же не удаляется, пробовал и в безопасном режиме и regCleaner'ом. AVZ эти файлы не отметила, вроде бы, но зато нашла другие ). В общем, хелп!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Отключить антивирус, интернет.
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcess(19736);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
     QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll','');
     QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll','');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1234-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
     QuarantineFile('C:\WINDOWS\System32\msvdm.dll','');
     DelBHO('{4B5A7560-16C6-4063-86D3-000000000003}');
     DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
     DelBHO('{C5AC49A2-94F3-42BD-F434-2604812C897D}');
     DelBHO('{A7F200B6-59D7-4F33-B52B-AC5AC7436204}');
     DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
     QuarantineFile('C:\WINDOWS\system32\ljjhghe.dll','');
     QuarantineFile('I:\citysvyaz\citysvyaz.exe','');
     QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
     QuarantineFile('C:\WINDOWS\system32\kdgj84ikg.dll','');
     QuarantineFile('C:\WINDOWS\system32\fkg94fdg.dll','');
     QuarantineFile('C:\WINDOWS\system32\dxclib303562752.dll','');
     QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll','');
     QuarantineFile('C:\WINDOWS\system32\bncmdue7h.dll','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\System32\taskswitch.exe','');
     QuarantineFile('C:\WINDOWS\System32\fast.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\IEeng.exe','');
     QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
     QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
     QuarantineFile('C:\WINDOWS\system32\drivers\core.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS','');
     QuarantineFile('C:\WINDOWS\system32\sfrem02.exe','');
     QuarantineFile('C:\WINDOWS\grngoqw.exe','');
     QuarantineFile('C:\Documents and Settings\Мария\Мои документы\Разное\Semagic1701for2k.exe','');
     QuarantineFile('C:\WINDOWS\system32\wlkvafoj.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\ljjhghe.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\bncmdue7h.dll');
     DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll');
     DeleteFile('C:\WINDOWS\system32\dxclib303562752.dll');
     DeleteFile('C:\WINDOWS\system32\fkg94fdg.dll');
     DeleteFile('C:\WINDOWS\system32\kdgj84ikg.dll');
     DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
     DeleteFile('C:\WINDOWS\System32\ljjhghe.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\core.sys');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('runtime2.sys');
     BC_DeleteSvc('core');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17458

    Сделайте новые логи, будем продолжать

    P.S. Объясните что у вас с антивирусами твориться, я увидел активные драйвера древней версии касперского , и части дрвеба. Коллекционируете?
    Как видите, тараканов больше чем антивирусов Ваше отношение к защите компьютера оставляет желать лучшего...
    Последний раз редактировалось drongo; 02.02.2008 в 21:12.

  4. #3
    Visiting Helper Репутация
    Регистрация
    16.10.2007
    Адрес
    Saint-Petersburg
    Сообщений
    79
    Вес репутации
    34
    Перед выполнением скрипта drongo отключите восстановление системы.

  5. #4
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    шайссе, не отключил восстановление. еще раз сейчас прогоню и, соответственно, вышлю карантин.
    Ну а старые драйверы - обычная история - как реестры не чисть - мусор все равно остается ((

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    http://virusinfo.info/showthread.php?t=16646
    Тут описано как удалить ненужные Вам антивирусы

  7. #6
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    новые логи

    высылаю карантин
    Вложения Вложения

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    а где остальные логи? В карантине только один файл.

    Выполните в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
     QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
     QuarantineFile('C:\WINDOWS\Bhm27.sys','');
     QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
     QuarantineFile('C:\WINDOWS\System32\NavLogon.dll','');
     DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил.
    Последний раз редактировалось wise-wistful; 03.02.2008 в 20:54.

  9. #8
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    лог syscure не прописывает, тольео syschek, карантин высылаю

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Карантин как нормально загрузился? А то мне пишет, что он не найден на сервере.

  11. #10
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    да, написал, что загружен

  12. #11
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    вроде бы все гуд, только и-нет подвисает, пока не разобрался - почему.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    давайте логи - только не косить ... полный комплект ... поправим ваш интернет ...

  14. #13
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    При запуске скрипта "выполнить лечение и сбор инфо" на скане диска выходит: ошибка "Runscan", Access violation чего-то там при создании карантина.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ubg27\0000', 'CSConfigFlags', '1');
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bhm27\0000', 'CSConfigFlags', '1');
     StopService('Agk37');
     SetServiceStart('Agk37', 4);
     SetServiceStart('Ubg27', 4);
     SetServiceStart('Bhm27', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg27.sys','');
     QuarantineFile('C:\WINDOWS\.sys','');
     QuarantineFile('ljjhghe.dll','');
     QuarantineFile('C:\WINDOWS\system32\ssqpo.dll','');
     QuarantineFile('C:\WINDOWS\system32\vsmidi.dll','');
     QuarantineFile('c:\program files\deluxecommunications\dxcbho.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Agk37.sys','');
     BC_DeleteFile('C:\WINDOWS\Bhm27.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ubg27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Agk37.sys');
     DeleteFile('c:\program files\deluxecommunications\dxcbho.dll');
     DeleteFile('C:\WINDOWS\system32\vsmidi.dll');
     DeleteFile('C:\WINDOWS\system32\ssqpo.dll');
     DelBHO('{1EAF62AA-149C-4C6D-871E-091377A6695A}');
     DeleteFile('ljjhghe.dll');
     BC_DeleteSvc('Agk37');
     BC_DeleteSvc('Ubg27');
     BC_DeleteSvc('Bhm27');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ..
    повторите логи ...
    Последний раз редактировалось V_Bond; 04.02.2008 в 22:26.

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    ошибка скрипта Undeclared identifier 'BC_DeleteSV', позиция [25:13]

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    поправил ...

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    каранитин загружаю, скрипты сканирования повторю после загрузки

    Добавлено через 12 минут

    снова тоже самое Access violation at address 0040254 in module AVZ.exe Write of address 4643535D (вроде точно записал)
    Последний раз редактировалось Xdrum; 04.02.2008 в 22:48. Причина: Добавлено

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните стандартный скрипт №6 ... затем повторите логи ...

  20. #19
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    18
    Вес репутации
    33
    выполнил, повторил. То же самое, Access... и т.д.

  21. #20
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Скачайте AVZ заново.

  • Уважаемый(ая) Xdrum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Vundo.OD
      От aynur в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.08.2012, 19:13
    2. vundo QA [Trojan.Win32.Jorik.Buterat.dmn ]
      От armas в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.07.2012, 12:31
    3. vundo.QA [Trojan-Ransom.Win32.Birele.zos ]
      От Артем80 в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 30.07.2012, 03:13
    4. А Vundo ли это?
      От Andrew в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:55
    5. TR/Vundo.Gen
      От CJb3LL в разделе Malware Removal Service
      Ответов: 18
      Последнее сообщение: 06.05.2007, 13:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01556 seconds with 25 queries