Показано с 1 по 20 из 20.

вирус просит денег (заявка № 31219)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83

    Exclamation вирус просит денег

    принесли машину
    на ней заблокирован рабочий стол, деспечер задач, редактор реестра, изчезла вклатка востонавления системы...
    на рабочем столе появилась картинка следущего содержания мол комп заражон злым и страшным вирем если хотите лечиться то плотите (содержание было на англиском так что я передал только смысл послания, а не исходный текст)
    тагже на машине заблокирован запуск ЕХЕ приложений....

    Сделать смог только логи авз HJ не запустился(

    С помощью авз => файл востонавление системы смог вернуть доступ к вкладке Востановление системы и отключил его, также удолось востановить рабочий стол и деспетчер задач с редактором реестра все астальное пока не работает....

    чую сам не осилю помогите плиз
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphc9m2j0e567.exe','');
     QuarantineFile('c:\windows\system32\lphc9m2j0e567.exe','');
     QuarantineFile('C:\WINDOWS\system32\karina.dat','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxq02.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwy04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwn43.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvf14.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wintr77.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqg80.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmq72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmk44.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjy80.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjy67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp58.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo12.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winji41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjc48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhw20.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhq60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn55.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhe42.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winei50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh61.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windc38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wincn10.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbo45.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winba23.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc9m2j0e567.scr','');
     DeleteService('Winxq02');
     DeleteService('Winwy04');
     DeleteService('Winwn43');
     DeleteService('Winvf14');
     DeleteService('Wintr77');
     DeleteService('Winsj21');
     DeleteService('Winqg80');
     DeleteService('Winmq72');
     DeleteService('Winmk44');
     DeleteService('Winkt11');
     DeleteService('Winkr67');
     DeleteService('Winjy80');
     DeleteService('Winjy67');
     DeleteService('Winjp58');
     DeleteService('Winjo12');
     DeleteService('Winji41');
     DeleteService('Winjc48');
     DeleteService('Winhw20');
     DeleteService('Winhq60');
     DeleteService('Winhn55');
     DeleteService('Winhe42');
     DeleteService('Wingk05');
     DeleteService('Winei50');
     DeleteService('Wineh61');
     DeleteService('Windc38');
     DeleteService('Wincr78');
     DeleteService('Wincn10');
     DeleteService('Winbo45');
     DeleteService('Winbe04');
     DeleteService('Winba23');
     DeleteService('VSSlanmanworkstationSharedAccessNetDDE');
     DeleteService('upnphostTuneUp.Defrag');
     DeleteService('TuneUp.DefragSchedule');
     DeleteService('TlntSvrHTTPFilter');
     DeleteService('TlntSvrCOMSysAppTuneUp.Defrag');
     DeleteService('SysmonLoglanmanworkstationSharedAccessNetDDE');
     DeleteService('SSScsiSVDcomLaunchVSSlanmanworkstationSharedAccessNetDDE');
     DeleteService('SSScsiSVDcomLaunch');
     DeleteService('SSDPSRVSNDSrvc');
     DeleteService('SSDPSRVALG');
     DeleteService('SPTISRVRasMan');
     DeleteService('ScheduleCiSvc');
     DeleteService('SBServiceClipSrv');
     DeleteService('RasManwuauservRSVP');
     DeleteService('RasManRasAutoMSIServer');
     DeleteService('RasManRasAuto');
     DeleteService('PACSPTISVRAppMgmtHidServFastUserSwitchingCompatibilityMSCSPTISRVose');
     DeleteService('PACSPTISVRAppMgmtHidServ');
     DeleteService('PACSPTISVRAppMgmt');
     DeleteService('oseSSDPSRVSNDSrvcSPTISRVRasMan');
     DeleteService('oseSSDPSRVSNDSrvc');
     DeleteService('oseEhttpSrv');
     DeleteService('NVSvcseclogon');
     DeleteService('NVSvcPACSPTISVR');
     DeleteService('NtmsSvcodserv');
     DeleteService('NtLmSspRpcSs');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityWebClient');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibilityaawservice');
     DeleteService('NetlogonMessengerFastUserSwitchingCompatibility');
     DeleteService('NetlogonMessenger');
     DeleteService('Netlogonlanmanworkstationekrn');
     DeleteService('Netlogonlanmanworkstation');
     DeleteService('NetlogonFastUserSwitchingCompatibilityMSCSPTISRV');
     DeleteService('MSCSPTISRVPACSPTISVRAppMgmt');
     DeleteService('MessengerRemoteRegistryr_server');
     DeleteService('MessengerRemoteRegistry');
     DeleteService('MessengerEventlog');
     DeleteService('LmHostsTlntSvrHTTPFilter');
     DeleteService('LmHostsCiSvc');
     DeleteService('lanmanworkstationSharedAccessNetDDE');
     DeleteService('lanmanworkstationSharedAccess');
     DeleteService('HTTPFilterr_server');
     DeleteService('FastUserSwitchingCompatibilityMSCSPTISRVose');
     DeleteService('FastUserSwitchingCompatibilityMSCSPTISRV');
     DeleteService('EventlogSchedule');
     DeleteService('ERSvcr_serverSPTISRV');
     DeleteService('ERSvcr_server');
     DeleteService('ERSvcNetDDE');
     DeleteService('ERSvcMSCSPTISRVPACSPTISVRAppMgmtEventlog');
     DeleteService('ERSvcMSCSPTISRVPACSPTISVRAppMgmt');
     DeleteService('EhttpSrvSwPrv');
     DeleteService('EhttpSrvCOMSysApp');
     DeleteService('CryptSvcNla');
     DeleteService('CryptSvclanmanworkstationSharedAccess');
     DeleteService('COMSysAppTuneUp.Defrag');
     DeleteService('CCALib8NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     DeleteService('ALGHidServ');
     DeleteService('aawserviceoseSSDPSRVSNDSrvc');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('F:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('c:\windows\system32\lphc9m2j0e567.exe');
     DeleteFile('C:\WINDOWS\system32\lphc9m2j0e567.exe');
     DeleteFile('C:\WINDOWS\system32\karina.dat');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxq02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwy04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwn43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvf14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintr77.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqg80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmq72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmk44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkt11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkr67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjy80.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjy67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winji41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjc48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhw20.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhq60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhn55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhe42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingk05.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windc38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincr78.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincn10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbo45.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winba23.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\blphc9m2j0e567.scr');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winxq02');
     BC_DeleteSvc('Winwy04');
     BC_DeleteSvc('Winwn43');
     BC_DeleteSvc('Winvf14');
     BC_DeleteSvc('Wintr77');
     BC_DeleteSvc('Winsj21');
     BC_DeleteSvc('Winqg80');
     BC_DeleteSvc('Winmq72');
     BC_DeleteSvc('Winmk44');
     BC_DeleteSvc('Winkt11');
     BC_DeleteSvc('Winkr67');
     BC_DeleteSvc('Winjy80');
     BC_DeleteSvc('Winjy67');
     BC_DeleteSvc('Winjp58');
     BC_DeleteSvc('Winjo12');
     BC_DeleteSvc('Winji41');
     BC_DeleteSvc('Winjc48');
     BC_DeleteSvc('Winhw20');
     BC_DeleteSvc('Winhq60');
     BC_DeleteSvc('Winhn55');
     BC_DeleteSvc('Winhe42');
     BC_DeleteSvc('Wingk05');
     BC_DeleteSvc('Winei50');
     BC_DeleteSvc('Wineh61');
     BC_DeleteSvc('Windc38');
     BC_DeleteSvc('Wincr78');
     BC_DeleteSvc('Wincn10');
     BC_DeleteSvc('Winbo45');
     BC_DeleteSvc('Winbe04');
     BC_DeleteSvc('Winba23');
     BC_DeleteSvc('VSSlanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('upnphostTuneUp.Defrag');
     BC_DeleteSvc('TuneUp.DefragSchedule');
     BC_DeleteSvc('TlntSvrHTTPFilter');
     BC_DeleteSvc('TlntSvrCOMSysAppTuneUp.Defrag');
     BC_DeleteSvc('SysmonLoglanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('SSScsiSVDcomLaunchVSSlanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('SSScsiSVDcomLaunch');
     BC_DeleteSvc('SSDPSRVSNDSrvc');
     BC_DeleteSvc('SSDPSRVALG');
     BC_DeleteSvc('SPTISRVRasMan');
     BC_DeleteSvc('ScheduleCiSvc');
     BC_DeleteSvc('SBServiceClipSrv');
     BC_DeleteSvc('RasManwuauservRSVP');
     BC_DeleteSvc('RasManRasAutoMSIServer');
     BC_DeleteSvc('RasManRasAuto');
     BC_DeleteSvc('PACSPTISVRAppMgmtHidServFastUserSwitchingCompatibilityMSCSPTISRVose');
     BC_DeleteSvc('PACSPTISVRAppMgmtHidServ');
     BC_DeleteSvc('PACSPTISVRAppMgmt');
     BC_DeleteSvc('oseSSDPSRVSNDSrvcSPTISRVRasMan');
     BC_DeleteSvc('oseSSDPSRVSNDSrvc');
     BC_DeleteSvc('oseEhttpSrv');
     BC_DeleteSvc('NVSvcseclogon');
     BC_DeleteSvc('NVSvcPACSPTISVR');
     BC_DeleteSvc('NtmsSvcodserv');
     BC_DeleteSvc('NtLmSspRpcSs');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityWebClient');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibilityaawservice');
     BC_DeleteSvc('NetlogonMessengerFastUserSwitchingCompatibility');
     BC_DeleteSvc('NetlogonMessenger');
     BC_DeleteSvc('Netlogonlanmanworkstationekrn');
     BC_DeleteSvc('Netlogonlanmanworkstation');
     BC_DeleteSvc('NetlogonFastUserSwitchingCompatibilityMSCSPTISRV');
     BC_DeleteSvc('MSCSPTISRVPACSPTISVRAppMgmt');
     BC_DeleteSvc('MessengerRemoteRegistryr_server');
     BC_DeleteSvc('MessengerRemoteRegistry');
     BC_DeleteSvc('MessengerEventlog');
     BC_DeleteSvc('LmHostsTlntSvrHTTPFilter');
     BC_DeleteSvc('LmHostsCiSvc');
     BC_DeleteSvc('lanmanworkstationSharedAccessNetDDE');
     BC_DeleteSvc('lanmanworkstationSharedAccess');
     BC_DeleteSvc('HTTPFilterr_server');
     BC_DeleteSvc('FastUserSwitchingCompatibilityMSCSPTISRVose');
     BC_DeleteSvc('FastUserSwitchingCompatibilityMSCSPTISRV');
     BC_DeleteSvc('EventlogSchedule');
     BC_DeleteSvc('ERSvcr_serverSPTISRV');
     BC_DeleteSvc('ERSvcr_server');
     BC_DeleteSvc('ERSvcNetDDE');
     BC_DeleteSvc('ERSvcMSCSPTISRVPACSPTISVRAppMgmtEventlog');
     BC_DeleteSvc('ERSvcMSCSPTISRVPACSPTISVRAppMgmt');
     BC_DeleteSvc('EhttpSrvSwPrv');
     BC_DeleteSvc('EhttpSrvCOMSysApp');
     BC_DeleteSvc('CryptSvcNla');
     BC_DeleteSvc('CryptSvclanmanworkstationSharedAccess');
     BC_DeleteSvc('COMSysAppTuneUp.Defrag');
     BC_DeleteSvc('CCALib8NetlogonMessengerFastUserSwitchingCompatibilityWebClientEventlog');
     BC_DeleteSvc('ALGHidServ');
     BC_DeleteSvc('aawserviceoseSSDPSRVSNDSrvc');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    спасибо за скрипт щас делаю я изнего тока ауторан выкинул это мой ауторанчик забыл раньше онем сказать=)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    логи авз зделаю завтроа....
    после скрипта полегчало но зверь еще жив....
    причем не пойму зачем но он прописал свой скрин сервер который время отвремени создает илюзию перезапуска винды прияем с BSODом.....
    так же выкладываю скрин рабочего стола
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    замечена еще 1 странность хтмл открываются не через ИЕ а через какоето другое приложение причем поставить ИЕ по умолчанию не получаеться.....
    Логи делаються
    карантин отправлет
    Файл сохранён как
    081002_004600_virus_48e460183a4e5.zip

    Размер файла
    343378

    MD5
    74015a18701d9c60a573bbe046254c97
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83

    Exclamation

    Новые логи
    прозьба обратить внимание на скреены
    на первом помечены странность описаная выше а на втором сообщения выводимое зловедом из трея
    Последний раз редактировалось fotorama; 22.10.2008 в 13:04.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    IceSword имеешь? Если нет, то надо скачать.

    Через него force delete, предварительно куда-нибудь их скопировав:
    c:\windows\buritos.exe
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winei50.sys
    C:\WINDOWS\system32\Drivers\Winsj21.sys
    C:\WINDOWS\karina.dat

    Затем скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\karina.dat','');
     SetServiceStart('Winsj21', 4);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winei50.sys','');
     DeleteService('Winei50');
     SetServiceStart('Winei50', 4);
     BC_DeleteSvc('wuauservRSVP');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winsj21.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winei50.sys','');
     QuarantineFile('c:\windows\buritos.exe','');
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
     DeleteFile('C:\WINDOWS\karina.dat');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    end.
    ну, а далее все по стандарту.

    Еще надо почистить все временные файлы Инета.
    Последний раз редактировалось PavelA; 02.10.2008 в 12:10.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    ок ща сделаю тока меч у мя старенький надеюсь потянет

    Добавлено через 17 минут

    Павел совсем у вожением но вы зхабыли добавить в скрипт перезагрузку а я это заметил только после выполнения скрипта пришлось обычным путем ребутиться

    все выполнил щас начну делать логи

    Добавлено через 1 минуту

    видимых проевлений зверя пока не обнаружено делаю логи
    Последний раз редактировалось fotorama; 02.10.2008 в 14:43. Причина: Добавлено
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Извини, просто поторопился. Странно, что из наших никто не поправил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    новые логи
    в авто запуске осталось следущее
    WinCtrl32.dll
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName
    buritos.exe
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
    karina.dat
    Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
    самих файлов не нашол
    Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    в hj вот это еще есть
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Добавлено через 2 минуты

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winsj21');
     BC_DeleteSvc('Winei50');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsj21.sys');
    BC_ImportDeletedList;
    BC_Activate;
    end.
    Сделать новые логи.
    Последний раз редактировалось PavelA; 02.10.2008 в 15:40. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    еще 1 вопрос если не сложно скажите названия этого кросавца
    и подскажите могли он стащить пароли на аську маил и прочее
    я человеку порекомендовал все это сменить а он терь с меня не слазит с прозьбой по пунктам обьяснить как это делать.....

    П/с
    сейчас он мне расказал что его сподвигло тащить комп мне.....
    оказываеться этот зверь у него сидел достаточно долго (минимум месяц)....
    сами понемаете работать на такой машине крайне сложно да и в игрульки не сыграеш.... его дочурка (папина помошница) пригласила какихто друзей (КРУТЫХ борцов с вирусней), те унего просидели целый день выпили все его пиво.... после чего поставили бесплатную Нодовскую тулзу, взяли за работу денег и ушли со словами, цитата с его слов"Не переживайте скоро все гикнеца"
    короче помогла дочка папе.....

    пп/с
    спс за скрипт щас все делаю
    Последний раз редактировалось fotorama; 02.10.2008 в 16:27.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Твое З.Ы. в Юмор надо поместить
    Вот что было:
    Beep.sys - Backdoor.Win32.UltimateDefender.a,
    buritos.exe_ - Hoax.Win32.Bravia.ir,
    karina.dat - Backdoor.Win32.Small.eug,
    lphc9m2j0e567.exe_ - Trojan.Win32.FraudPack.aeq,
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.bnw

    Еще одного забыли удалить
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Beep', 4);
     BC_DeleteSvc('Beep');
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    ок спс щас добью=)
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    свежие логи
    Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    вроде все чисто или всеж ктота еще шивелитьс?
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Да, теперь чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    83
    спасибо за помощ
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    снова ведь нахватают через день-другой, лучше бы объяснили:http://virusinfo.info/showthread.php?t=30339

  • Уважаемый(ая) fotorama, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. просит денег
      От Ilia14 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.07.2012, 20:35
    2. Вирус просит денег - decryptf@yahoo.com
      От nikolas12 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.07.2012, 10:04
    3. Билайн просит денег
      От 290nps в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.12.2010, 16:28
    4. Порнобанер просит денег! Помогите!
      От zozo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.06.2010, 15:34
    5. Порнобанер просит денег
      От Bizant в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2010, 12:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 21 queries