-
Junior Member
- Вес репутации
- 57
Invader + Virtumod + Antivirus 2009
В конце рабочего дня….получил уведомление о наличие нового Java-апплета и, не обращая внимание на некоторую странность – обычно «розовая чашечка», дал подтверждение на обновление. И вот тут «на дыбы встал» Каспер! Но…….ох, уж этот человеческий фактор…….Каспер получил команду … «разрешить».
Итог следующего дня: тормозит комп, трафик увеличился на порядок, установился antivirus 2009, исчезли некоторые пиктограммы, при «одинарном» щелчке на ярлыке программы на рабочем столе он меняется на «прямоугольничек с синими точками», а сама программа не запускается. При отключении от интернета (ADSL-соединение) комп так же притормаживает, но чуть «меньше».
Просмотрел Ваш форум. Прочитал правила и рекомендации и, как мог за двое суток, выполнил их.
С трудом обновив базы, проверил «с маскимальными настройками» систему Каспером. Это заняло 5 часов! Каспер «ругался» на модифицированный ПО Invader. Но, «как бы», почистил.
Потом в защищённом режиме с CD проверил Dr.Web CureIt в режиме «полная проверка». Доктор нашёл 21 вирус в system32 - Trojan.Virtumod. 449.. А вот в обычном режиме Доктор не грузится, выскакивает сообщение ИЕ про ошибку.
Ощутимых изменений в работе компа – нет!. Повторил чистку Каспером и Доктором. Результат "чистки" практически такой же. Каспер молчит, а Доктор удаляет из system32 вирусы,. А, ни производительность системы не изменилась, ни трафик не уменьшился. Зато антивир 2009 стал чаще выскакивать. - и "пугать".
Вот обновляю базу АВЗ. (с такой скоростью - это не быстро)
Не хочу прислушиваться к «умникам из ближайшего сервиса», что нужно «полный формат и переустановка системы». (хотя новый винт приобрёл, на «старом» - много ценного).
После всего прочитанного на этом форуме появилась надежда на восстановление! (Увы, логи только завтра смогу выложить).
Последний раз редактировалось Rene-gad; 19.09.2008 в 10:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
С такой скоростью трафика не раньше 19.09 (пятница) до 12 мск.
Вот логи!
Последний раз редактировалось InDaHouse; 19.09.2008 в 19:17.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Antivirus 2009\av2009.exe','');
QuarantineFile('C:\PROGRA~1\AVPCLO~1\avpclock.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\NVNVRRZJ.sys','');
QuarantineFile('C:\WINDOWS\system32\qfgyrb.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGxyWmn.dll','');
DeleteService('NVNVRRZJ');
DelBHO('{ce050d3d-d93f-457b-8a20-ea47653bbb94}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{53707962-6F74-2D53-2644-206D7942484F}');
DelBHO('{2BFA9E9A-2835-4D96-9DFB-D60E8229F807}');
DeleteFile('C:\WINDOWS\system32\hgGxyWmn.dll');
DeleteFile('C:\WINDOWS\system32\qfgyrb.dll');
DeleteFile('C:\WINDOWS\system32\drivers\NVNVRRZJ.sys');
DeleteFile('C:\PROGRA~1\AVPCLO~1\avpclock.exe');
DeleteFile('C:\Program Files\Antivirus 2009\av2009.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('NVNVRRZJ');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Новые логи и карантин!
Исчезли в трее некоторые значки.
Последний раз редактировалось InDaHouse; 19.09.2008 в 19:17.
-
Выполните проверку системы CureIt в безопасном режиме. Потом повторите логи.
-
-
Junior Member
- Вес репутации
- 57
Увы, CureIt теперь и в безопасном режиме НЕ ЗАПУСКАЕТСЯ!
Ни "свежий", ни "вчерашний" не работают.
Ни с винта, ни с CD. Перепробовал по разному.
Последний раз редактировалось InDaHouse; 19.09.2008 в 18:08.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hgGxyWmn.dll','');
QuarantineFile('C:\WINDOWS\system32\dtopxw.dll','');
QuarantineFile('C:\WINDOWS\system32\bhrrgtpd.dll','');
QuarantineFile('C:\WINDOWS\system32\qcmumcjc.dll','');
DelBHO('{50723719-6582-43BC-A4C6-7620BC318BE1}');
DelBHO('{cf640635-980c-4d4c-a8f1-16a46fd476b0}');
DeleteFile('C:\WINDOWS\system32\qcmumcjc.dll');
DeleteFile('C:\WINDOWS\system32\bhrrgtpd.dll');
DeleteFile('C:\WINDOWS\system32\dtopxw.dll');
DeleteFile('C:\WINDOWS\system32\hgGxyWmn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Логи и карантин.
Да, при входе в систему "пользователем с органиченными правами" выдается сообщение:
RunDLL :
- "Ошибка при загрузке C\windows\system32\qcmumcjc.dll - отказано в доступе"
- "Ошибка при загрузке C\windows\system32\bhrrtpd.dll - отказано в доступе"
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rasdd6hepksn.sys','');
QuarantineFile('Rasdd6hepksn.sys','');
DeleteService('Rasdd6hepksn');
QuarantineFile('dtopxw.dll','');
DeleteFile('dtopxw.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Rasdd6hepksn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Rasdd6hepksn');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
После предыдущего действия - Ваш пост №8 в этой ветке- трафик визуально очень заметно уменьшился. Правда, время перезагрузки системы - увеличилось.
На "свой страх и риск" попробовал запустить CureIt в защищённом режиме. Заработал! Результат работы Доктора и новые логи с карантином - завтра утром до 10 мск.
CureIt проверил в защищённом режиме. Нашёл и вылечил 5 вирусов.
4 в фалах карантина Trojan.DNS.Change.988 и Trojan.Virtumod.588
и 1 в system32 - Trojan.DNS.Change.988
Выполнил скрипт и логи, отправил какрантин
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
-
-
-
Junior Member
- Вес репутации
- 57
Работает!
Трафик - в "норме".
Правда время запуска системы увеличилось. И значки в трее не восстановились.
-
Сообщение от
InDaHouse
Правда время запуска системы увеличилось. И значки в трее не восстановились.
Какие значки? Или вообще никаих нет?
- Выполните скрипт
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
После перезагрузки проинформируйте о состоянии ПК.
-
-
Junior Member
- Вес репутации
- 57
О! Кроме Каспера ,"щита" и сети появились значки Nvideo и камера. Ни SaundMax, ни регулятор громкости не "вернулись".
-
Сообщение от
InDaHouse
Ни SaundMax, ни регулятор громкости не "вернулись".
Выполните это: http://virusinfo.info/showthread.php?t=20712
Потом проверьте активирование значков в панели SoundMax и регулятора громкости.
-
-
Junior Member
- Вес репутации
- 57
При перезагрузке через таск-менеджр, значки появились. А при полной перезагрузке их опять нет (только сеть, "щит",Каспер, Nvideo и камера). Параметры "показывать" выставлены.
И "задумчивый-задумчивый" комп при загрузке какой-то.
-
Сообщение от
InDaHouse
При перезагрузке через таск-менеджр, значки появились. А при полной перезагрузке их опять нет (только сеть, "щит",Каспер, Nvideo и камера).
А подавление неактивных значков в трее у Вас включено (Пуск-Меню/Свойства)? Скриншот с трея сделайте и лог Хайджека в нормальном режиме - в студию.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
-
Сообщение от
InDaHouse
Подавление отключено.
АВЗ, Файл/Мастер поиска и устранения проблем/системные проблемы всех видов понаходить и поустранять.
Лог Хайджека - халтура. Где Вы эту допотопную версию откопали?
Поотключайте через msconfig все завтозапуски кроме Каспера (его кстати можно до 2009-й обновить, ключ от 7-ки походит), перегрузитесь.
-