Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Ну удается полностью вирус (заявка № 23449)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34

    Question Ну удается полностью вирус

    Здравствуйте!
    Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
    Последний раз редактировалось aqua; 28.05.2008 в 13:40.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Многовато накопилось. Может Доктор у Вас старой версии?

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\E8AFA062.exe','');
     QuarantineFile('C:\58B0156C.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\сsrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
     QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
     QuarantineFile('C:\WINDOWS\system32\mms32swasw.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
     QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     SetServiceStart('Google Online Services', 4);
     StopService('Google Online Services');
     QuarantineFile('c:\windows\system32\yrinuhkp.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe','');
     QuarantineFile('c:\windows\system32\shovth.exe','');
     QuarantineFile('c:\documents and settings\winxp\ie_updates3r.exe','');
     DeleteFile('c:\documents and settings\winxp\ie_updates3r.exe');
     DeleteFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe');
     DeleteFile('c:\windows\system32\yrinuhkp.exe');
     DeleteFile('C:\WINDOWS\pxgdslro.dll');
     DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('C:\WINDOWS\system32\mms32swasw.dll');
     DeleteFile('C:\WINDOWS\system32\winsn.exe');
     DeleteFile('C:\WINDOWS\system32\winsos.exe');
     DeleteFile('C:\WINDOWS\system32\сsrss.exe');
     DeleteFile('C:\58B0156C.exe');
     DeleteFile('D:\E8AFA062.exe');
    DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
     DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин, сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Да нет, лицензия и свежие базы. Сам в шоке ((

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Я скрипт написал, см. выше.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Карантин выслал. Сам комп не перезагрузился, пришлось резетнуть. После перезагрузки диски не открываются, тапа выбирете программу, хотя через Пуск Выполнить Обзор нормально работает.
    Последний раз редактировалось aqua; 28.05.2008 в 13:40.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполни след. скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\dnserv.dll','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Пришли карантин. На предыдущий подождем ответа аналитиков.
    На всякий случай приготовься использовать Winsockxpfix.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Карантин выслал. Ок ждем.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    'C:\WINDOWS\System32\dnserv.dll' - Trojan-PSW.Win32.Agent.aks по Касперскому.

    Пароли, скорее всего, ушли на сторону.
    Напишу скрипт для удаления этой гадости. До него надо записать настройки сети,
    После него пропадет Инет и надо прогнать winsockspfix и заново настроить сетку.

    Добавлено через 1 минуту

    Вот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\dnserv.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 26.05.2008 в 18:33. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Так, после скрипта комп не грузится, Windows ругается типа "Сбой удаленный вызов процедур RPC" и дает отсчет времени до перезагрузки.....
    В безопасном режиме аналогичная ситуация.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Значит, надо делать возврат к последней успешной конфигурации.
    Это очень печально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Удалось загрузится. На рабочем столе пусто, три волшебные клавиши работают. Что делать дальше????

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Пилюля №5 из "Восст. системы" в AVZ должна помочь с рабочим столом.
    После этого делать новые логи, будем смотреть что получилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Локальная загрузка профиля приводит к перезагрузке с отсчетом времени.
    Удалось подключится через удаленный рабочий стол, профиль грузится с кучей ошибок, все интернет приложения, при выходе в интернет падают в корку. Вот прилагаю логи которое удалось сделать.
    З.Ы. Восстановление системы №5 пока не делал.
    З.Ы.Ы. Сейчас пока комп включен сожрало все место свободное на диске С:
    Последний раз редактировалось aqua; 28.05.2008 в 13:40.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Winsockxpfix применял? Очень похоже что нет.

    Есть вероятность того, что повредился профиль.
    Еще и звери остались
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
     QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\ezwfivsx.exe','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\ezwfivsx.exe');
     DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
     DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Присылай следующих, если попадут в карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Вот новые логи. Карантин отправил. Winsockxpfix сделал. Интернет как бы не работает, страницы не открываются.
    Последний раз редактировалось aqua; 28.05.2008 в 13:40.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Логи делал до Winsockxpfix или после? Такое ощущение, что он не сработал.
    Попробуй сделать в AVZ восст. системы п.15, а после него п.18.
    Настройки надо будет прописать заново.

    Для прочистки от мусора:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\gwin32.dll');
     DelBHO('{FFFFFFFF-85A3-452b-B7A8-759AD9B42162}');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 27.05.2008 в 15:24.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    После этих процедур интернет заработал. Что дальше делать?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    Код:
    O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll (file missing)
    O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - gwin32.dll (file missing)
    Сделать логи с п.10 Правил.

    Рабочий стол восстановился?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    34
    Рабочий стол в порядке. Ошибки при загрузке пропали. Только СМТП потоки идут по полной процессом services.exe
    Последний раз редактировалось aqua; 28.05.2008 в 13:40.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  • Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. не удается полностью очистить компьютер (заявка №48311)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 16.01.2011, 18:00
    2. Ответов: 14
      Последнее сообщение: 12.02.2010, 00:07
    3. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    4. Вирус полностью завладел системой!!!
      От hormone в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.11.2009, 01:29
    5. Ответов: 16
      Последнее сообщение: 04.12.2006, 17:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00719 seconds with 20 queries