-
Junior Member
- Вес репутации
- 56
Получила пачку троянов и других вирусов
Вчера по собственной глупости скачала с варезного сайта и инсталлировала файлик (могу приложить по запросу). В результате отрезан доступ по всем антивирусным сайтам (либо не открывает, либо редирект на левый сайт). Постоянно грузится триальная версия программы Spyware Guard 2008 (установлен вирусом). Если не чистить системные процессы от подозрительных файлов, быстро перегружается память и комп виснет (иногда даже во время загрузки). Установленный Касперский Антивирус 2009 не находит ничего, только периодически выдает сообщения о прекращении попыток фишинга.
Последний раз редактировалось Yana; 30.10.2009 в 01:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Yana
Вчера по собственной глупости скачала с варезного сайта и инсталлировала файлик (могу приложить по запросу).
Отправьте ссылку мне в личные сообщения.
Скрипт сейчас напишет light59.
-
-
"Пофиксите" в HijackThis
Код:
O4 - Startup: yana.magic.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O19 - User stylesheet: (file missing)
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Spyware Guard 2008\spywareguard.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\moduleie.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\dcelfztuup.dll','');
TerminateProcessByName('c:\windows\system32\winscenter.exe');
QuarantineFile('c:\windows\system32\winscenter.exe','');
DeleteFile('c:\windows\system32\winscenter.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\dcelfztuup.dll');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Internet Explorer\DLLs\moduleie.dll');
DeleteFile('C:\Program Files\Spyware Guard 2008\spywareguard.exe');
DeleteFile('Lbreveaygu.sys');
DeleteFile('Lmhrrowgh.sys');
DeleteService('Lmhrrowgh');
DeleteService('Lbreveaygu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=35917
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 56
Карантин отослала. Логи прилагаются
У нас дома сеть. Я параллельно с зараженным еще один компьютер включала. Антивирус там молчит, всеми тулзами проверила, но все равно боязно. Как еще проверить?
Последний раз редактировалось Yana; 30.10.2009 в 01:15.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('upperdev');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
DeleteService('Lbreveaygu');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('upperdev');
BC_DeleteSvc('Lbreveaygu');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 56
Это для зараженного компа скрипт или для остальных в сети?
-
Это для того, с которого делали логи. Если заражено несколько компьютеров, то для каждого отдельная тема и логи
Последний раз редактировалось light59; 19.12.2008 в 15:07.
-
-
Junior Member
- Вес репутации
- 56
Логи прилагаю. Карантин послала
Последний раз редактировалось Yana; 03.11.2009 в 22:59.
-
Эмм... Как себя чувствует пациент? В анализах ничего плохого. Можно выписывать.
По другим компьютером создавайте новые темы.
-
-
Junior Member
- Вес репутации
- 56
Ну слава богу.
Виват спасителям! (денюшку уже послала)
На другом компе в общем-то ничего подозрительного не замечено, просто страшно.
У нас 4 компа в домашней сетке, так 2 из них за эти дни даже не включали на всякий случай.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users.windows\\application data\\microsoft\\internet explorer\\dlls\\dcelfztuup.dll - not-a-virus:FraudTool.Win32.SpywareGuard2008.am (DrWEB: Trojan.Fakealert.3806)
- c:\\documents and settings\\all users.windows\\application data\\microsoft\\internet explorer\\dlls\\iemodule.dll - not-a-virus:FraudTool.Win32.SpywareGuard2008.am (DrWEB: Trojan.Fakealert.3805)
- c:\\documents and settings\\all users.windows\\application data\\microsoft\\internet explorer\\dlls\\moduleie.dll - not-a-virus:FraudTool.Win32.SpywareGuard2008.am (DrWEB: Trojan.Fakealert.3804)
- c:\\program files\\spyware guard 2008\\spywareguard.exe - not-a-virus:FraudTool.Win32.SpywareGuard2008.am (DrWEB: Trojan.Fakealert.3802)
- c:\\windows\\system32\\winscenter.exe - Trojan-Downloader.Win32.FraudLoad.vejg (DrWEB: Trojan.Fakealert.2266)
- \\keygencrack.v.3297.exe - Worm.Win32.AutoRun.vep (DrWEB: archive: Win32.HLLW.Autoruner.4612)
-