-
Junior Member
- Вес репутации
- 59
Некорректная работа утилиты Cureit от Dr.Web
Добрый день!
После заражения своего ПК букетом вирусов через Интернет, по совету знакомого толкового сисадмина изучил рекомендации Вашего уважаемого форума. При выполнении пункта 2 "Правил перед запросом о помощи" - проведении полной проверки утилитой Cureit, выполнял все действия программы по умолчанию. Т.е если по умолчанию предлагалось удалить - удалял, переместить - перемещал. Т.о. переместил 5 файлов из папки Windows/System32, помеченные как неизлечимые. Именно после работы Cureit при каждом включении компьютера и во время работы вываливаливаются грозди сообщений "неопознанная ошибка" и "Access violation a adress... с указанием на файлы sv.exe, svhoster.exe, runsql.exe и svzip.exe".
После выполнения остальных пунктов "Правил..." часть вирусов была уничтожена, но часть, по всей видимости, осталась. Так, какая-то программа пытается все время что-то качать из сети. При каждом включении ПК, когда не подключался к Интернет, появляется окно типа "Невозможно подключиться к Интернет. Работать автономно?" А при подключении к Интернет, соответственно, появляется иконка закачки неизвестного файла с предложением его сохранить.
Также время от времени появляется сообщение от антивируса Avast об обнаружении вируса Malware. При попытке удалить выдается ответ "невозможно удалить, нет доступа к файлу Document and Setting/Мой док(условно)/Local Setting/Temporary Internet/Content IE... и т.д. Avast определяет имя вируса как WMF:CIE-2005-4560(expl)
Убедительная просьба оказать помощь в устранении этих сбоев!
Заранее благодарен за помощь.
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Антивирус и Интернет!
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [146caefd] rundll32.exe "C:\WINDOWS\system32\dudtnmts.dll",b
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wdmon.exe');
TerminateProcessByName('c:\windows\runsql.exe');
TerminateProcessByName('c:\windows\svx.exe');
TerminateProcessByName('c:\windows\svzip.exe');
TerminateProcessByName('c:\windows\svhoster.exe');
TerminateProcessByName('c:\windows\sv.exe');
QuarantineFile('yayxvSLc.dll','');
QuarantineFile('C:\WINDOWS\system32\yayxvSLc.dll','');
QuarantineFile('C:\WINDOWS\system32\urqOEutU.dll','');
QuarantineFile('C:\WINDOWS\system32\qdahvnkv.dll','');
QuarantineFile('C:\WINDOWS\system32\dudtnmts.dll','');
QuarantineFile('c:\windows\vlc.exe','');
QuarantineFile('c:\windows\wdmon.exe','');
QuarantineFile('c:\windows\svzip.exe','');
QuarantineFile('c:\windows\svx.exe','');
QuarantineFile('c:\windows\svhoster.exe','');
QuarantineFile('c:\windows\sv.exe','');
QuarantineFile('C:\WINDOWS\system32\pmnkKcdA.dll','');
QuarantineFile('c:\windows\stophid.exe','');
QuarantineFile('c:\windows\runsql.exe','');
QuarantineFile('C:\WINDOWS\system32\dudtnmts.dll','');
QuarantineFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cas.exe','');
QuarantineFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25car.exe','');
QuarantineFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25caq.exe','');
QuarantineFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cap.exe','');
QuarantineFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cag.exe','');
DeleteFile('c:\windows\runsql.exe');
DeleteFile('c:\windows\sv.exe');
DeleteFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cag.exe');
DeleteFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cap.exe');
DeleteFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25caq.exe');
DeleteFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25car.exe');
DeleteFile('C:\Documents and Settings\777\Local Settings\Temp\60325cahp25cas.exe');
DeleteFile('C:\WINDOWS\system32\dudtnmts.dll');
DeleteFile('c:\windows\svhoster.exe');
DeleteFile('c:\windows\svx.exe');
DeleteFile('c:\windows\svzip.exe');
DeleteFile('c:\windows\wdmon.exe');
DeleteFile('C:\WINDOWS\system32\pmnkKcdA.dll');
DeleteFile('C:\WINDOWS\system32\dudtnmts.dll');
DeleteFile('C:\WINDOWS\system32\qdahvnkv.dll');
DeleteFile('C:\WINDOWS\system32\urqOEutU.dll');
DeleteFile('C:\WINDOWS\system32\yayxvSLc.dll');
DeleteFile('yayxvSLc.dll');
DelBHO('{D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}');
DelBHO('{BEB0FE54-0C52-443D-A90A-45663E81AF14}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{3E76FEFB-9228-43FB-95EA-A39DC8ACC498}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22104
Очистите временные папки,кеш браузера и повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Положительный результат
Добрый день!
Ваша помощь превзошла все ожидания как по оперативности, так и по качеству! Спасибо!
Тестирую ПК в течении более 3-х часов частями - ни малейшего признака работы посторонних программ и вирусов.
Как требуется, направляю Вам на всякий случай новые логи.
С праздником святой Пасхи вас всех!
С большим респектом,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Отключите восстановление системы! - там наверняка есть копии ваших зловредов.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {CA042090-975B-404C-BE33-6A17ECC272A4} - C:\WINDOWS\system32\urqOEutU.dll (file missing)
O2 - BHO: (no name) - {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} - C:\WINDOWS\system32\yayxvSLc.dll (file missing)
O20 - Winlogon Notify: yayxvSLc - C:\WINDOWS\
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сделал как сказали.
Что дальше, руководите!
С уважением,
Алексей
-
Повторите на всякий случай лог virusinfo_sysсheck
Последний раз редактировалось Гриша; 27.04.2008 в 23:10.
-
-
Junior Member
- Вес репутации
- 59
Добрпой ночи!
Отправляю!
С уважением,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 59
Огромное спасибо, Гриша, Bratez и V_Bond, за вашу благое дело!
С уважением,
Алексей