Показано с 1 по 18 из 18.

DNSChanger.bov, Win32.Small.bbg, Tool.ASEye.2 и т.д. (заявка № 24539)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65

    Exclamation DNSChanger.bov, Win32.Small.bbg, Tool.ASEye.2 и т.д.

    Здравствуйте,
    набрал вирусов, восстановление системы к предыдущей точке не откатывает, папка "свойства папки" пропала, проблемы с TouchPad -
    курсор плохо слушается, на рабочем столе запись:
    SynTP.sys" is not found.
    Or it is not supported.
    Occured part - TouchED.exe-WndProc()
    Failed function - cTouchPad.SelectDevice()
    Error code - 0x00020304

    Я поудалял возникшие после инфицирования папки с рабочего стола, теперь после загрузки автозапуск ссылается на несуществующий файл.
    Hijack по вашей ссылке скачать не смог, воспользовался сохраненной в марте копией.
    Все картинки и аватары на вашем сайте не вижу, все свернуто.
    В заголовок вынес кое-что из подцепленного.
    (Жду помощи!)
    Последний раз редактировалось Семён; 13.06.2008 в 22:10. Причина: Пока никто не откликается

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\User Satellite\Рабочий стол\pkml684.exe"
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
    O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing)
    Без перезагрузки
    2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\5dgf0k.exe','');
     QuarantineFile('Explorer.exe C:\Documents and Settings\User Satellite\Рабочий стол\pkml684.exe','');
     QuarantineFile('C:\WINDOWS\system32\yacxgitao.exe','');
     DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
     DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\USERSA~1\LOCALS~1\Temp\winlagon.exe','');
     QuarantineFile('C:\DOCUME~1\USERSA~1\LOCALS~1\Temp\csrssc.exe','');
     DeleteFile('C:\DOCUME~1\USERSA~1\LOCALS~1\Temp\csrssc.exe');
     DeleteFile('C:\DOCUME~1\USERSA~1\LOCALS~1\Temp\winlagon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\yacxgitao.exe');
     DeleteFile('Explorer.exe C:\Documents and Settings\User Satellite\Рабочий стол\pkml684.exe');
     DeleteFile('c:\5dgf0k.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=24539

    Повторите логи.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Не понял, куда делись мои вложения

    Добавлено через 10 минут

    Память была перегружена

    Добавлено через 2 минуты

    Цитата Сообщение от Семён Посмотреть сообщение
    Не понял, куда делись мои вложения

    Добавлено через 10 минут

    Память была перегружена

    не вкладываются ЛОГи чёй-то

    Добавлено через 3 минуты

    А я ещё попытаюсь...
    Пишет "файл вкладывается в сообщение", а вложения нету..
    Что делать-то, профессура?
    Последний раз редактировалось Семён; 13.06.2008 в 15:54. Причина: Добавлено

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Никак вышло!
    Вложения Вложения

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Эти адреса Вам известны? 85.255.116.88,85.255.112.103

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Нет

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Пофиксите в HJT

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6586C3E5-1E4E-4A85-A980-8CA2ED77DB86}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{810405C1-0035-499E-B606-A5476777F44C}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8AAD19C2-636E-4D02-B4E8-7E4BAB54AFD7}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A9DC8EAD-5E99-45C7-84D9-A032800D643B}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C46100EE-E081-4F71-AED3-CFED8F72CCBE}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3F92C0-CC79-43CC-865B-06D26F63403A}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CD28BA4D-FF1B-409E-AC06-0A6767C6CA04}: NameServer = 85.255.116.88,85.255.112.103
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
    O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
    O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
    Повторите логи начиная с п.10 правил. Проблемы какие-то наблюдаются?

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Все сделал,
    1) не вижу картинок (в т.ч. аватар);
    2) осталась проблема с SynTP.sys is not found (описание в начале темы).
    Отзовитесь кто-нибудь!
    Вложения Вложения
    Последний раз редактировалось Семён; 13.06.2008 в 22:13. Причина: Жду долго, волнуюсь...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Вопрос:
    Что у Вас в папке
    D:\ман\...
    знаете?

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\kdvgu.exe','');
     DelWinlogonNotifyByFileName('kdvgu.exe');
     QuarantineFile('kdvgu.exe','');
     DeleteFile('kdvgu.exe');
     DeleteFile('C:\WINDOWS\system32\kdvgu.exe');     
     BC_DeleteFile('C:\WINDOWS\system32\kdvgu.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки повторите логи.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Предупреждение получил, выводы сделал.
    В папке D\man часть нужных мне файлов и часть неизвестных.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Семён Посмотреть сообщение
    В папке D\man часть нужных мне файлов и часть неизвестных.
    Неизвестные файлы пришлите согласно приложению 3 правил.
    А сейчас - скрипт и логи после скрипта, плиз.
    Последний раз редактировалось Rene-gad; 13.06.2008 в 23:26.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    После выполнения скрипта остался наедине с пустым рабрчим столом,
    т.е. без иконок. Так все и повисло, пришлось выкл-вкл.
    Готовлю ЛОГи

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Семён Посмотреть сообщение
    Так все и повисло, пришлось выкл-вкл.
    Готовлю ЛОГи
    сейчас иконки появились?

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Начал выполнять стандартный скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info",
    вспомнил, что не отключил "восстановление системы", прервал скрипт, отключил "восст-е", опять запустил скрипт. В самом конце выполнения посыпались предупреждения в неограниченном количестве следующего содержания:
    "Access violation at adress 00402254 in module 'avz.exe',
    write of address 4643535D".
    Кстати, я заархивировал незнакомые файлы из D, и хотел их при перемещении в AVZ удалить из D, но мне было отказано.
    Иконок не появилось.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Семён Посмотреть сообщение
    Иконок не появилось.
    эапустите АВЗ, Файл/Восстановление системы, отметьте пункт 5, запустите.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2008
    Сообщений
    69
    Вес репутации
    65
    Готово.
    Извините, зарапортовался, в своем предыдущем ответе написал, что иконок нет, на самом деле они конечно появились после перезагрузки, я имел ввиду картинки. На сайтах часть картинок в виде свернутых пиктограмм, а здесь вообще только пиктограммы с квадратом, треугольником и кругом.
    Вложения Вложения
    Последний раз редактировалось Семён; 14.06.2008 в 08:55.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Wbj20.sys','');
     DeleteService('Wbj20');
     DeleteFile('Wbj20.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
    После перезагрузки повторите логи.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 331
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.chd (DrWEB: Trojan.Packed.511)


  • Уважаемый(ая) Семён, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. tool.killproc/backdoor.siggen.14237/win32:keygen-bg[tool]]
      От Paralon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.01.2011, 19:29
    2. NOD нашел VBS/Small.K Small.NAB и Win32/PSW.QQRob
      От ballast в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:28
    3. turbo-codec.v.5.099[1].exe Trojan.Win32.DNSChanger.bov
      От Семён в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 29.06.2008, 14:03
    4. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 16:50
    5. Win32:AutoRun-PC,OZ,PD [Wrm] и Win32:DNSChanger-SI [Trj]
      От Sky_Tech в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.02.2008, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01464 seconds with 20 queries