Показано с 1 по 12 из 12.

x.com (заявка № 17665)

  1. #1
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33

    Thumbs up x.com

    На всех дисках в корне находиться этот файл. При удалении он появляется снова через пару секунд.
    Последний раз редактировалось Sky_Tech; 22.04.2008 в 13:53.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfas', 4);
     StopService('zxsderfbukjfyshlhdfrstdzhdfas');
     QuarantineFile('C:\Winlirc\irex.exe','');
     QuarantineFile('K:\autorun.inf','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\x.com','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\PRODIGY.SYS','');
     QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfas.sys','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\portpro.sys','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('zxsderfbukjfyshlhdfrstdzhdfas.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\x.com');
     DeleteFile('D:\x.com');
     DeleteFile('E:\x.com');
     DeleteFile('I:\x.com');
     DeleteFile('K:\x.com');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('I:\autorun.inf');
     DeleteFile('K:\autorun.inf');
     DeleteService('zxsderfbukjfyshlhdfrstdzhdfas');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17665

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    Повторите логи
    Последний раз редактировалось akoK; 07.02.2008 в 01:13. Причина: по требованию:)
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33
    А как вы файлы прочитали если 0 скачек? Или для хелперов оно не учитывает?

    Winlirc\winlirc.exe это дистанционное управление через ик порт.
    x.com у меня на всех дисках. Добавить строки в скрипт?
    DeleteFile('D:\x.com');
    DeleteFile('E:\x.com');
    DeleteFile('I:\x.com');
    DeleteFile('K:\x.com');

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Смысла нет я уже добавил в скрипт
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33
    Ну сначала не было

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Согласен не было, потом прочитал и поправил
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33
    Карантин на месте 080206_162756_virus_47aa346c1b1a1.zip

    Добавлено через 2 минуты

    страно но строки O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe нету в HijackThis
    Последний раз редактировалось Sky_Tech; 07.02.2008 в 01:31. Причина: Добавлено

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Нет это хорошо...

    Добавлено через 10 минут

    C:\WINDOWS\system32\amvo.exe - Trojan-PSW.Win32.OnLineGames.qso
    C:\x.com - Trojan-PSW.Win32.OnLineGames.qso
    C:\WINDOWS\system32\amvo.exe - Trojan-PSW.Win32.OnLineGames.qso
    C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnLineGames.qso

    Если есть он-лайн игры меняйте пароли
    Последний раз редактировалось akoK; 07.02.2008 в 01:41. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33
    что мне делать теперь удалить все в карантине?
    в игры неиграю темболее онлайн.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте новые логи, посмотрим, не осталось ли чего.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    72
    Вес репутации
    33
    Новые логи
    Последний раз редактировалось Sky_Tech; 22.04.2008 в 13:53.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Логи чистые.
    I am not young enough to know everything...

  • Уважаемый(ая) Sky_Tech, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01399 seconds with 19 queries