-
Junior Member
- Вес репутации
- 51
Резко снизилась скорость интернет передачи. Curiet обнаружил вирусы такие как...
После полной проверки Dr.Web Curiet были обнаружены вирусы такие как...
BackDoor.Tofsee; Trojan.Spambot.7965; Dialer.Siggen.121; Win32.HLLW.Lime.18; Trojan.Siggen.18257.
Я выбрал удалить всё, но не уверен, что они выведены из системы.
Проблема возникла после резкого снижения скорости интернет передачи, обратился к провайдеру, было сказано, что понижение скорости возникло из-за проблем с моей стороны, я понял: вирусы.
Антивируса и фаерволла не имею. Изредка проверяюсь обновленным Dr.Web Curiet. (и то не полную проверку). ОС: Windows XP SP3.
Заранее благодарен Вам за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\userini.exe');
TerminateProcessByName('c:\windows\temp\wpv931273933462.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Perl\bin\PerlMsg.dll','');
QuarantineFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\CTL57.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ElbyCDIO.sys','');
QuarantineFile('C:\Program Files\Sandboxie\SbieDrv.sys','');
QuarantineFile('c:\windows\temp\wpv931273933462.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\temp\wpv931273933462.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. БАЗЫ АВЗ ОБНОВИТЬ. Логи переделать.
-
-
+ к ARMA9000,
Пофиксите в Hijackthis:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
-
-
Junior Member
- Вес репутации
- 51
Готово. Результат загрузки по красной ссылке таков:
Код:
Результат загрузки
Файл сохранён как 100516_155625_virusinfo_cure_4befdd699ea0f.zip
Размер файла 39805
MD5 fcaac1fcc4456e7f535a73c249a5dcd2
Файл закачан, спасибо!
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Дима\DoctorWeb\Quarantine\nissan.exe','');
QuarantineFile('C:\Documents and Settings\Дима\DoctorWeb\Quarantine\A0114874.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\BSqBT.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\BSqBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteService('protect');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи переделать.
-
-
Junior Member
- Вес репутации
- 51
Готово, прошу.
Лог загрузки карантина:
Код:
Результат загрузки
Файл сохранён как 100516_194104_virusinfo_cure_4bf012102b238.zip
Размер файла 462812
MD5 7661163be146247f0290e267971a6fc3
Файл закачан, спасибо!
-
-
-
Junior Member
- Вес репутации
- 51
ARMA9000, Ну вообще вроде нет. То есть все впорядке счас?
А подскажите какую лучше всего проводить диагностику, или там защиту какой антивирус выбрать. Или же если его нет, то как часто и чем проводить проверку?
Добавлено через 1 минуту
И как вновь не попасться на эту дрянь, которая снижает скорость интернет передачи?
Последний раз редактировалось SnipER-su28; 16.05.2010 в 19:55.
Причина: Добавлено
-
Сообщение от
SnipER-su28
То есть все впорядке счас?
Ничего плохого не увидел.
Рекомендую обновить IE8( даже если им не пользуетесь).
Сообщение от
SnipER-su28
А подскажите какую лучше всего проводить диагностику, или там защиту какой антивирус выбрать. Или же если его нет, то как часто и чем проводить проверку?
Добавлено через 1 минуту
И как вновь не попасться на эту дрянь, которая снижает скорость интернет передачи?
Эту тему посмотрите http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 51
Спасибо большое. Вопрос решен. Тему можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\дима\doctorweb\quarantine\a0114874.exe - P2P-Worm.Win32.Palevo.qbf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.3151763, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\documents and settings\дима\doctorweb\quarantine\nissan.exe - P2P-Worm.Win32.Palevo.qbf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.3151763, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.esz ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BP, AVAST4: Win32:Bredolab-DF [Trj] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.esm ( DrWEB: Trojan.Spambot.6788, AVAST4: Win32:Bredolab-DF [Trj] )
- c:\windows\temp\wpv931273933462.exe - Email-Worm.Win32.Joleee.eul ( DrWEB: Trojan.Sniff.123, BitDefender: Trojan.Bredolab.BR, AVAST4: Win32:Bredolab-DG [Trj] )
-