словил вирус, очень походит на описание W32.Pagipef.I
словил вирус, очень походит на описание W32.Pagipef.I
да, это он, сворачиваются все 3-d приложения и запускается IE скрытно, лезет на сайт js потом перегружает комп, фаервол спасает от перегрузки..
помогите вылечиться
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('e:\windows\system32\com\lsass.exe',''); QuarantineFile('e:\windows\system32\com\smss.exe',''); QuarantineFile('E:\pagefile.pif',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('F:\autorun.inf',''); DeleteFile('F:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); DeleteFile('e:\windows\system32\com\smss.exe'); DeleteFile('e:\windows\system32\com\lsass.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Результат загрузкиФайл сохранён как 080814_141940_virus_48a4854c9c301.zip
Размер файла 155623
MD5 7bdeb1f343f62347c4f39dc0d87467e9
Файл закачан, спасибо!
это не помогает, вирус опять ломиться, он при каждой загрузке самопроизводиться...попробую удалить его ключи с реестра как описано в описании в ссылке выше.
E:\pagefile.pif TrojanDropper:Win32/Jevafus.A
выполните скрипт ...
повторите логи все три ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\pagefile.pif'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
этот троян создаётся чем то, его сколько не удаляй он появляеться.
После удаления ключей реестра вируса замечено не было, однако после перезагрузки он опять появился вместе с ключами..мне кажется надо "убить" разом и ключи и файлы pagefile , lsass, smss
прошу помощи в виде скрипта для AVZ т.к. сам не разобрался как работать с реестром из него.
Последний раз редактировалось Rene-gad; 15.08.2008 в 10:32. Причина: Добавлено
уважаемый , выполняйте указания ....
приношу извинения, хотел помочь следствию.
логи
выполните скрипт ....
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\autorun.inf'); DeleteFile('C:\pagefile.pif'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\pagefile.pif'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\pagefile.pif'); DeleteFile('e:\windows\system32\com\netcfg.000'); DeleteFile('e:\windows\system32\com\netcfg.dll'); DelCLSID('{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}'); DelCLSID('{D9901239-34A2-448D-A000-3705544ECE9D}'); DelCLSID('{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}'); DelCLSID('{AAC17985-187F-4457-A841-E60BAE6359C2}'); DelCLSID('{814293BA-8708-42E9-A6B7-1BD3172B9DDF}'); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повтор логов
выполните скрипт ....
повторите логи начиная с пункта 10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\pagefile.pif'); DeleteFile('E:\autorun.inf'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\pagefile.pif'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\pagefile.pif'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\pagefile.pif'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повтор
в логах ничего плохого ....
спасибо за помощь, буду наблюдать за поведением компьютера и "зверинца" из вирусов в нём
пришел ответ из вирлаба ....
pagefile.pif_ - Virus.Win32.Xorer.cy,
smss.exe_ - Virus.Win32.Xorer.bp
http://dnl-us9.kaspersky-labs.com/devbuilds/AVPTool/ - этим полную проверку сделайте
вирус повторяется..делаю проверку антивирусом что в ссылке
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- e:\\pagefile.pif - Virus.Win32.Xorer.cy (DrWEB: Trojan.MulDrop.16165)
- e:\\windows\\system32\\com\\lsass.exe - Virus.Win32.Xorer.cy (DrWEB: Trojan.MulDrop.16165)
- e:\\windows\\system32\\com\\smss.exe - Virus.Win32.Xorer.bp (DrWEB: Trojan.Hunder.23)
Уважаемый(ая) wowsel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.