Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Помогите справиться с вирусом (заявка № 22447)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59

    Exclamation Помогите справиться с вирусом

    Добрый день всем,

    После посещения сайта bivillage.com найдена троянская программа Trojan-Downloader.VBS. Agent.nf. Системная дата компьютера поменялась на 4 января 2004 года, в процессах висит (висел до сканирования AVZ посторонний exe-процесс). Системная дата так и не меняется на нормальную, компьютер постоянно что-то качает, уходит трафик.

    Помогите, пожалуйста
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\MSDOS.bat','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\MSDOS.bat','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\~tmp8289.exe','');
     QuarantineFile('C:\DOCUME~1\New\LOCALS~1\Temp\dat40.tmp','');
     QuarantineFile('C:\DOCUME~1\New\LOCALS~1\Temp\dat3F.tmp','');
     DeleteFile('C:\DOCUME~1\New\LOCALS~1\Temp\dat3F.tmp');
     DeleteFile('C:\DOCUME~1\New\LOCALS~1\Temp\dat40.tmp');
     DeleteFile('C:\WINDOWS\~tmp8289.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\MSDOS.bat');
     DeleteFile('D:\MSDOS.bat');
     DeleteFile('D:\autorun.inf');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=22447).
    Обновите базы AVZ.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Сделано
    Вложения Вложения
    Последний раз редактировалось O.K.; 05.05.2008 в 15:47.

  5. #4
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Вирус побил QIP. Не запускается....

    Добавлено через 10 часов 38 минут

    Помогииите...Меня забыли...?
    Последний раз редактировалось O.K.; 06.05.2008 в 02:34. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Давайте посмотрим еще и эти файлы:
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\MSDOS.bat','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\MSDOS.bat','');
     QuarantineFile('C:\autorun.inf','');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{ED1F56D6-E7EB-4CA8-81DB-D99BD7AB6082}');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\TrayNotifier2.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\dat8.tmp','');
     QuarantineFile('C:\WINDOWS\TEMP\dat3.tmp','');
     QuarantineFile('c:\windows\windows.ext','');
     DeleteFile('c:\windows\windows.ext');
     DeleteFile('C:\WINDOWS\TEMP\dat3.tmp');
     DeleteFile('C:\WINDOWS\TEMP\dat8.tmp');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\TrayNotifier2.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\MSDOS.bat');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\MSDOS.bat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22447
    The worst foe lies within the self...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Добавьте в карантин C:\WINDOWS\system32\spoolsv.exe, что-то он мне не нравится.
    И еще: после скрипта Kuzz поставьте правильную дату и время.

    Добавлено через 7 минут

    Для порядка пофиксите вот эти строчки в HijackThis:
    Код:
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    Последний раз редактировалось Bratez; 06.05.2008 в 03:12. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Карантин оказался пустой, до выполнения скрипта Kuzz Kaspersky Online Scanner и Cure It нашли штук 40 троянов разных мастей и больше 150 файлов, зараженных вирусом Win32.HLLW.Autoruner.1864 и прибили их.

    dat3.tmp, dat8.tmp - это были Rootkit.Win32.Agent.ajg и Trojan-PSW.Win32.OnLineGames.abqz.

    Win32.HLLW.Autoruner.1864 побил в основном exe-файлы - QIP, MSN Installer, AVZ, TweakUiPower, на диске D особенно много, все удалилось...
    spoolsv.exe было две штуки, один из них зараженный, Cure It его удалил, второй в карантине. Был ужас...Системная дата теперь нормальная.

    Нужно сделать новые логи?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Да. Оч. желательны новые логи.
    Надо убедиться, что ничего не пропустили.
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Готово
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\New\LOCALS~1\Temp\dat3F.tmp"
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    Перезагрузитесь и повторите лог HijackThis.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Новый лог
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чисто,жалобы есть?

  14. #13
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Визуально все спокойно. Если что-то появится, напишу.

    Большое вам спасибо

    Добавлено через 2 часа 52 минуты

    Ой...проблемы есть... Пропали все принтеры. При попытке установить принтер система пишет "Невозможно завершение операции. Подсистема печати недоступна"

    Добавлено через 3 часа 39 минут

    И еще, при запуске MSN загрузка ЦП 100%, зависает намертво, такого раньше не было..
    Последний раз редактировалось O.K.; 07.05.2008 в 03:59. Причина: Добавлено

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от O.K. Посмотреть сообщение
    Ой...проблемы есть... Пропали все принтеры. При попытке установить принтер система пишет "Невозможно завершение операции. Подсистема печати недоступна"
    Во вложении reg файл, запустите его и потом перезагрузите ПК - служба печати включится.

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Сделала, это не помогло....

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Диспетчера очереди печати у меня в "Службах" вообще нет(((((((

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    авз - сервис - диспетчер служб - службы - все ...
    сделайте лог приложите ...

  20. #19
    Junior Member Репутация
    Регистрация
    05.05.2008
    Сообщений
    12
    Вес репутации
    59
    Вот лог
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('c:\windows\system32\spoolsv.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  • Уважаемый(ая) O.K., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите справиться с вирусом((
      От Aigul в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.08.2010, 15:06
    2. Помогите с вирусом справиться
      От liberral в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.05.2010, 04:59
    3. Помогите справиться с вирусом
      От лучший в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.01.2010, 20:44
    4. помогите справиться с вирусом
      От ixFLY в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 16.03.2009, 09:13
    5. помогите справиться с вирусом!!!
      От squirrel в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.04.2007, 01:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01239 seconds with 20 queries