-
Junior Member
- Вес репутации
- 57
Трояны, рассылка почты, блок-ка антив. сайтов
Здравствуйте!
Пожалуста, помогите разобраться с вирусами.
Симптомы такие:
1). Антивирус постоянно находит в памяти объекты вроде:
C:\WINDOWS.0\TEMP\VRT4.tmp [L] Win32:Trojan-gen (0)
C:\WINDOWS.0\System32\1535,695.exe\[Embedded_R#016b0] [L] Win32:Malware-gen (0)
C:\WINDOWS.0\System32\4474,711.exe [L] Win32:VB-LYG [Trj] (0)
C:\WINDOWS.0\TEMP\VRT18.tmp [L] Win32:Trojan-gen (0)
C:\WINDOWS.0\TEMP\VRT3.tmp [L] Win32:Trojan-gen (0)
C:\WINDOWS.0\TEMP\VRT7.tmp [L] Win32:Trojan-gen (0)
C:\WINDOWS.0\TEMP\VRT3.tmp [L] Win32:Trojan-gen (0)
2). С компьютера часто отправляется почта.
3). Невозможно скачать ДрВеб курайт, зайти на virusinfo (Всё это пришлось делать с другого компа).
4). ДрВеб в безопасном режиме зависает примерно на 70% поиска с таким сообщением:
…..
4cw9q7.exe
7kc4dp.exe
flxc5XP.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Прикрепляю логи и надеюсь на Вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У вас заражение файловым вирусом, пролечитесь как рекомендовано здесь
http://virusinfo.info/showthread.php?t=15927
По окончании лечения от файлового вируса обновите базы АВЗ (Файл- Обновление баз) и сделайте новые логи
-
-
Junior Member
- Вес репутации
- 57
Здравствуйте!
Делал всё по инструкции на странице: http://virusinfo.info/showthread.php?t=15927
Записывал на чистом компе CD'шки, проверял ими зараженный. Испробовал все способы на этой странице. Но вирус жив и поныне!
По-прежнему нельзя зайти на virusinfo и др., по-прежнему отправляется почта.
С помощью же вышеперечисленных CD устранил несколько старых троянов, что присутствовали у меня давно, и с существованием которых приходилось мириться, т.к. были нужны программы, в которых они находились.
Скажите, пожалусто, что можно ещё сделать?!! Можно ли както заблокировать отправку почты с компьютера? Отключить какую-то службу для этого? Можно ли разблокировать сайты? Какие файлы для этого в папке Windows заменить?
Поможет ли в решении проблемы сам файл- первоначальный источник заражения?
Пожалусто, помогите!
-
Сообщение от
Alex9999
Испробовал все способы на этой странице. Но вирус жив и поныне!
Возможно, файлового вируса уже нет, остались только последствия.
Чтобы точно это выяснить, скачайте заново AVZ и HijackThis, обновите базы AVZ и сделайте новый комплект логов.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Здравствуйте!
Необычное разрешение моего вопроса.
Выше я уже указывал, что при сканировании Др.Веб Курайтом программа эта вылетала в ошибку и прекращала сканирование. Файлы, которые Др.Веб не мог обработать находились в папке Local Sett.\TEMP. Я удалил эту папку и сканирование в этот раз прошло без проблем. На компьютере оказались заражёнными все exe’шники вирусом WIN32.virut.56. Ко всем заражённым файлам применял Лечение.
У меня есть к Вам пару вопросов.
Почему такие мощные системы, как Dr.Web Live CD, LiveCD Vba32 Rescue и Avira GmbH не увидели вирус, который вышел в мир ещё 22 марта 2009г. и который входит в 10-ку самых вредоносных? В случае Dr.Web Cureit и Dr.Web Live CD ведь продукты одного производителя должны иметь одну вирусную базу?
Прикрепляю новые логи.
p.s. да забыл добавить, рассылка почты прекратилась, сайты разблокировались!
Последний раз редактировалось Alex9999; 15.11.2009 в 18:33.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\Temp\VRT6.tmp','');
QuarantineFile('C:\WINDOWS.0\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS.0\system32\7.tmp.exe','');
QuarantineFile('C:\WINDOWS.0\system32\67.tmp.exe','');
QuarantineFile('C:\Documents and Settings\Alex\restorer32_a.exe','');
QuarantineFile('C:\Documents and Settings\Alex\photo_id.exe','');
DeleteFile('C:\Documents and Settings\Alex\photo_id.exe');
DeleteFile('C:\Documents and Settings\Alex\restorer32_a.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS.0\system32\67.tmp.exe');
DeleteFile('C:\WINDOWS.0\system32\7.tmp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','25515');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7992');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','26634');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS.0\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS.0\Temp\VRT6.tmp');
end.
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Новые логи. Карантин отправил.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\drivers\zlmykbrviqt3.sys','');
DeleteService('zlmykbrviqt3');
DeleteFile('C:\WINDOWS.0\system32\drivers\zlmykbrviqt3.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\VBARESCUE\mnt\sda1\VBARESCUE\mnt\sda1\System Volume Information\_restore{3F6051C4-20F8-4F16-88FE-4D62A87E2FC4}\RP188\A0022512.sys','');
QuarantineFile('C:\VBARESCUE\mnt\sda1\WINDOWS\system32\drivers\yhiwxdlsav.sys','');
QuarantineFile('C:\VBARESCUE\mnt\sda1\WINDOWS.0\system32\drivers\yhiwxdlsav.sys','');
QuarantineFile('C:\WINDOWS.0\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS.0\system32\svchost.exe','');
DeleteFile('C:\VBARESCUE\mnt\sda1\WINDOWS.0\system32\drivers\yhiwxdlsav.sys');
DeleteFile('C:\VBARESCUE\mnt\sda1\WINDOWS\system32\drivers\yhiwxdlsav.sys');
DeleteFile('C:\VBARESCUE\mnt\sda1\VBARESCUE\mnt\sda1\System Volume Information\_restore{3F6051C4-20F8-4F16-88FE-4D62A87E2FC4}\RP188\A0022512.sys');
DeleteFileMask('C:\VBARESCUE\mnt\sda1\VBARESCUE\mnt\sda1\System Volume Information', '*.*', true);
BC_ImportALL;
BC_DeleteSvc('yhiwxdlsav');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ПРАВИЛАМ (Приложение 3), оба ваших предыдущих карантина сделаны неправильно
Код:
Файл прислан не через карантин AVZ
Повторите логи
-
-
Junior Member
- Вес репутации
- 57
-
Активной заразы больше не видно.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
Установите SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Пофиксил. Огромное Спасибо всем хелперам за помощь!!!!
-
Ответ еще не по всем файлам карантина пришел, но уже ясно - лечение не закончено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\vbarescue\mnt\sda1\vbarescue\mnt\sda1\system volume information\_restore{3f6051c4-20f8-4f16-88fe-4d62a87e2fc4}\rp188\a0022512.sys - Rootkit.Win32.Pakes.w ( DrWEB: Trojan.Spambot.6029, BitDefender: Trojan.Rootkit.Agent.NFO )
- c:\vbarescue\mnt\sda1\windows\system32\drivers\yhi wxdlsav.sys - Rootkit.Win32.Pakes.w ( DrWEB: Trojan.Spambot.6029, BitDefender: Trojan.Rootkit.Agent.NFO )
- c:\vbarescue\mnt\sda1\windows.0\system32\drivers\y hiwxdlsav.sys - Rootkit.Win32.Pakes.w ( DrWEB: Trojan.Spambot.6029, BitDefender: Trojan.Rootkit.Agent.NFO )
- c:\windows.0\system32\ctfmon.exe - Trojan-Dropper.Win32.Paradrop.ap ( BitDefender: Trojan.Generic.2815971 )
- c:\windows.0\temp\vrt6.tmp - Trojan-Downloader.Win32.Genome.xfl ( AVAST4: Win32:Malware-gen )
-