Junior Member
Вес репутации
57
VIRUS ALERT! ТЕПЕРЬ И У МЕНЯ
По просьбе знакомого помог установить новую программу, перед этим выгрузил KIS2009, т.к. программа была как бы скачана с надёжного источника.
Но вместо ожидаемой программы - VIRUS ALERT!
последствия:
- заблокирован диспечер задач
- заблокирован "настройки экрана"
- на рабочем столе много новых ярлыков с сылками
- возле часов "VIRUS ALERT! "
- также надпись "VIRUS ALERT!" присутствуем пракчески возле любых дат (время создания сайта, последнее обновление баз KIS ....)
- постоянное выскакивание окон о том что мой комп заражён вирусом
....
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы АВЗ
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D84FF92C-BFC4-4FEB-A61B-7C260B6CD914}');
DelBHO('{D3CCFAF7-DF03-4E73-95EC-E5E139CC2BF2}');
DelBHO('{5106E46A-31AB-4DAF-BD6C-91005DE87936}');
DelBHO('{27C553CA-8F48-410F-9BCF-A50AB83641F8}');
DelBHO('{00a4d1bf-e33c-4263-a0e6-90c96355fb31}');
QuarantineFile('C:\WINDOWS\system32\nnnlmJYs.dll','');
QuarantineFile('C:\WINDOWS\System32\qxjbgy.dll','');
QuarantineFile('C:\WINDOWS\system32\mvviliis.dll','');
QuarantineFile('C:\WINDOWS\rwlfsdmk.dll','');
QuarantineFile('C:\WINDOWS\peltodgx.dll','');
QuarantineFile('C:\WINDOWS\onfwbsak.dll','');
QuarantineFile('C:\WINDOWS\dfmlxbpkkpf.dll','');
DeleteFile('C:\WINDOWS\dfmlxbpkkpf.dll');
DeleteFile('C:\WINDOWS\onfwbsak.dll');
DeleteFile('C:\WINDOWS\peltodgx.dll');
DeleteFile('C:\WINDOWS\rwlfsdmk.dll');
DeleteFile('C:\WINDOWS\system32\mvviliis.dll');
DeleteFile('C:\WINDOWS\System32\qxjbgy.dll');
DeleteFile('C:\WINDOWS\system32\xxywTNDT.dll');
DeleteFile('C:\WINDOWS\system32\nnnlmJYs.dll');
DeleteFile('C:\Documents and Settings\VB\Local Settings\Temporary Internet Files\Content.IE5\0S2J7Y9K\setup[1].exe');
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
Повторите логи.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MicroAV.cpl','');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D84FF92C-BFC4-4FEB-A61B-7C260B6CD914}');
DelBHO('{D3CCFAF7-DF03-4E73-95EC-E5E139CC2BF2}');
DelBHO('{5106E46A-31AB-4DAF-BD6C-91005DE87936}');
DelBHO('{27C553CA-8F48-410F-9BCF-A50AB83641F8}');
DelBHO('{00a4d1bf-e33c-4263-a0e6-90c96355fb31}');
QuarantineFile('C:\WINDOWS\system32\xxywTNDT.dll','');
QuarantineFile('C:\WINDOWS\System32\qxjbgy.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnlmJYs.dll','');
QuarantineFile('C:\WINDOWS\system32\mvviliis.dll','');
QuarantineFile('C:\WINDOWS\rwlfsdmk.dll','');
QuarantineFile('C:\WINDOWS\peltodgx.dll','');
QuarantineFile('C:\WINDOWS\onfwbsak.dll','');
QuarantineFile('C:\WINDOWS\dfmlxbpkkpf.dll','');
DeleteFile('C:\WINDOWS\dfmlxbpkkpf.dll');
DeleteFile('C:\WINDOWS\onfwbsak.dll');
DeleteFile('C:\WINDOWS\peltodgx.dll');
DeleteFile('C:\WINDOWS\rwlfsdmk.dll');
DeleteFile('C:\WINDOWS\system32\mvviliis.dll');
DeleteFile('C:\WINDOWS\system32\nnnlmJYs.dll');
DeleteFile('C:\WINDOWS\System32\qxjbgy.dll');
DeleteFile('C:\WINDOWS\system32\xxywTNDT.dll');
DeleteFile('C:\WINDOWS\system32\MicroAV.cpl');
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Все вылечилось!
Карантин выслал.
Вложения
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O2 - BHO: (no name) - {aa8bd32d-b098-4cc4-98df-db6994beb4d3} - C:\WINDOWS\system32\kolokilu.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('nnnlmJYs.dll','');
QuarantineFile('qxjbgy.dll','');
QuarantineFile('C:\WINDOWS\system32\kolokilu.dll','');
DelBHO('{EB387C82-94B1-489C-BFFF-DA5C54AFDB16}');
QuarantineFile('C:\WINDOWS\system32\xxywTNDT.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-329068152-436374069-725345543-1003\Dc6.dll');
DeleteFile('C:\WINDOWS\system32\xxywTNDT.dll');
DeleteFile('nnnlmJYs.dll');
DeleteFile('C:\WINDOWS\system32\kolokilu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Последний раз редактировалось YBBY; 19.03.2009 в 11:55 .
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('qxjbgy.dll','');
QuarantineFile('C:\WINDOWS\system32\jijejeju.dll','');
QuarantineFile('C:\WINDOWS\system32\fajohiti.dll','');
DeleteFile('C:\WINDOWS\system32\fajohiti.dll');
DeleteFile('C:\WINDOWS\system32\jijejeju.dll');
DeleteFile('qxjbgy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
профиксить:
Код:
O20 - AppInit_DLLs: qxjbgy.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\WINDOWS\system32\fajohiti.dll
O20 - Winlogon Notify: nnnlmJYs - C:\WINDOWS\
Прислать еще один карантин.
По окончанию лечения возможно придется переустановить а/вирус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Карантин отправил.
KIS 2009 выжил, переустанавилвать не пришлось
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 82 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\vb\\local settings\\temporary internet files\\content.ie5\\0s2j7y9k\\setup[1].exe - Trojan.Win32.Buzus.ztk (DrWEB: Trojan.DownLoad.519 c:\\recycler\\s-1-5-21-329068152-436374069-725345543-1003\\dc6.dll - not-a-virus:WebToolbar.Win32.Zango.aw (DrWEB: Adware.Zango.83) c:\\windows\\dfmlxbpkkpf.dll - Trojan.Win32.Vapsup.nse c:\\windows\\onfwbsak.dll - Trojan.Win32.Vapsup.nsd c:\\windows\\peltodgx.dll - Trojan.Win32.Vapsup.nsc c:\\windows\\rwlfsdmk.dll - Trojan.Win32.Vapsup.nsb (DrWEB: Trojan.Popuper.7647) c:\\windows\\system32\\fajohiti.dll - Trojan.Win32.Monder.qvl (DrWEB: Trojan.Virtumod.585) c:\\windows\\system32\\jijejeju.dll - Trojan.Win32.Monder.qvl (DrWEB: Trojan.Virtumod.585) c:\\windows\\system32\\kolokilu.dll - Trojan.Win32.Monder.qvl (DrWEB: Trojan.Virtumod.585) c:\\windows\\system32\\microav.cpl - not-a-virus:FraudTool.Win32.UltimateAntivirus.cv (DrWEB: Trojan.Fakealert.1399) c:\\windows\\system32\\mvviliis.dll - Trojan.Win32.Monder.rhn (DrWEB: Trojan.Virtumod.569) c:\\windows\\system32\\nnnlmjys.dll - Trojan.Win32.Monderb.wwl (DrWEB: Trojan.Packed.670) c:\\windows\\system32\\qxjbgy.dll - not-a-virus:AdWare.Win32.SuperJuan.ehc (DrWEB: Trojan.Packed.670)