-
Junior Member
- Вес репутации
- 58
надпись VIRUS ALERT и Vista antivirus
Добрый день!
1. Справа от часов появилась надпись VIRUS ALERT, так же эта надпись появилась в заголовке окна антивируса Symantec при проверке компьютера.
2. Активные окна периодически меняются(как при комбинации ALT+TAB)
3. Периодически появляется сообщение о зарожении компьютера (Vista antivirus) и запускается Interner Explorer со ссылкой на како-то сайт.
4. Появился Vista antivirus, мною не устанавливался
5. Доступ к диспетчеру задач запрещён администратором
6. Застака рабочего стола поменялась, свойства экрана изменить невозможно, недоступно.
Логи прилогаю, прошу помощи!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Начнем вот с этого:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{82CB8960-D26A-49D2-B4CA-AF01B48C7873}');
DelBHO('{E409066C-9DE5-4E24-BE7B-6E7FA51009C8}');
DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
DelBHO('{189614CB-DF10-46E7-B15B-73D184929C25}');
QuarantineFile('C:\WINNT\system32\WINdirect.exe','');
QuarantineFile('C:\WINDOWS\system32\hgGyvtUO.dll','');
QuarantineFile('C:\Program Files\VAV\vav.exe','');
QuarantineFile('C:\Program Files\RuPass\RuPass.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Info Tool.exe','');
QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
QuarantineFile('C:\WINDOWS\system32\urqPfGvS.dll','');
QuarantineFile('C:\WINDOWS\system32\dxyencnt.dll','');
QuarantineFile('C:\WINDOWS\rtsplgob.dll','');
QuarantineFile('C:\WINDOWS\rnopbfgt.dll','');
QuarantineFile('C:\WINDOWS\kvsdpfeagep.dll','');
TerminateProcessByName('c:\program files\vav\vav.exe');
QuarantineFile('c:\program files\vav\vav.exe','');
QuarantineFile('c:\windows\system32\drivers\trcboot.exe','');
DeleteFile('C:\WINDOWS\kvsdpfeagep.dll');
DeleteFile('C:\WINDOWS\rnopbfgt.dll');
DeleteFile('C:\WINDOWS\rtsplgob.dll');
DeleteFile('C:\WINDOWS\system32\dxyencnt.dll');
DeleteFile('C:\WINDOWS\system32\urqPfGvS.dll');
DeleteFile('C:\WINDOWS\xkefqtgs.dll');
DeleteFile('C:\Program Files\RuPass\RuPass.exe');
DeleteFile('C:\Program Files\VAV\vav.exe');
DeleteFile('C:\WINDOWS\system32\hgGyvtUO.dll');
DeleteFile('C:\WINNT\system32\WINdirect.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
Ограничения по настройкам системы сами выставляли?
Последний раз редактировалось PavelA; 17.06.2008 в 13:07.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Карантин выслал, ограничения по настройкам не ставил.
Сейчас идёт проверка, логи вышлю сразу как закончит.
-
Junior Member
- Вес репутации
- 58
Высылаю новые логи.
Надпись Virus Alert также осталась
-
Junior Member
- Вес репутации
- 58
Фон рабочего стола тоже остался прежний, поменять не могу и диспечер задач неактивен.
-
Выполнить скрипт:
Код:
begin
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Профиксить:
Код:
O20 - Winlogon Notify: hgGyvtUO - hgGyvtUO.dll (file missing)
O2 - BHO: (no name) - {E7E86E24-CDD8-48B2-A528-DF4A62C89C2A} - C:\WINDOWS\system32\urqPfGvS.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU5090.dll (file missing)
C:\NMRegfix.exe - вот это что за программа?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнил, профиксил, диспечер разблокировался и настроки рабочего стола тоже.
C:\NMRegfix.exe - такой порграммы нет в корне диска С!
Ещё вопрос, как убрать надпись VIRUS ALERT около часов и в заголовке окна Symantec? глаза мозолит больно ))
Добавлено через 6 минут
Около часов надпись убрал, осталась в заголовке окна Symantec!
Последний раз редактировалось Shrek000; 17.06.2008 в 16:42.
Причина: Добавлено
-
Тогда вот это профикси:
O4 - S-1-5-18 Startup: NMRegfix.lnk = C:\NMRegfix.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: NMRegfix.lnk = C:\NMRegfix.exe (User 'Default user')
Сделать новый лог HijackThis.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
-
Junior Member
- Вес репутации
- 58
Надпись в заголовке окна Symantec пропала!!
Большое спасибо за помощь!!
-
Вот это надо профиксить:
O2 - BHO: (no name) - {1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8} - C:\WINDOWS\system32\hgGyvtUO.dll (file missing)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\vav\\vav.exe - not-a-virus:FraudTool.Win32.WinAntiVirus.r (DrWEB: Trojan.Fakealert.881)
- c:\\windows\\kvsdpfeagep.dll - Trojan.Win32.Vapsup.gym (DrWEB: Trojan.Popuper.6572)
- c:\\windows\\rnopbfgt.dll - Trojan.Win32.Vapsup.gxl (DrWEB: Trojan.Popuper.6571)
- c:\\windows\\rtsplgob.dll - Trojan.Win32.Vapsup.gyn (DrWEB: Adware.Supa.92)
- c:\\windows\\system32\\dxyencnt.dll - Trojan.Win32.Monder.up (DrWEB: Trojan.Virtumod.based.17)
- c:\\windows\\system32\\hggyvtuo.dll - Trojan.Win32.Monder.uq (DrWEB: Trojan.Virtumod.based.17)
- c:\\windows\\system32\\urqpfgvs.dll - Trojan.Win32.Monder.ur (DrWEB: Trojan.Virtumod.based.17)
- c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.gxk (DrWEB: Trojan.Siggen.83)
-