Браузеры не открывают страницы сайтов ....

[Леонид]

Вчера у соседа вылезла проблема с вирями.
Сделал логи но отправить так и не смог... т.к. ни один браузер не открывает страницы ..... никаких сайтов ???
Соединение модемное - соединяется нормально, а страницы не открывает.
Логи отсылаю с работы....

[Леонид]

Да еще забыл.... после загрузки пытается куда-то в инет лезть....

[PavelA]

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_QrFile('rsvp32_2.dll');
 BC_QrFile('C:\WINDOWS\system32\bhslnnnr.dll');
 BC_QrFile('svcchost.exe');
 BC_QrFile('C:\WINDOWS\System32\vtstq.dll');
 BC_QrFile('C:\WINDOWS\system32\jrplivcn.dll');
 BC_QrFile('c:\windows\system32\lnwin.exe');
 BC_QrFile('c:\windows\system32\adirss.exe');
 BC_QrFile('c:\windows\system32\adirka.exe');
 BC_QrFile('svcchost.exe');
 BC_QrFile('rsvp32_2.dll');
 BC_DeleteFile('svcchost.exe');
 BC_DeleteFile('rsvp32_2.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки прислать получившийся карантин, согласно Правил.
В тему вложить boot_clr.log из директории AVZ
Скорее всего, пропадет Интернет (хотя он и не работал)
Чтобы исправить выполните скрипт:

Код:

begin
ExecuteRepair(14);
end.

Если не поможет, то еще один:

Код:

begin
ExecuteRepair(15);
end.

[Леонид]

Спасибо. Вечером выполню.....

[Леонид]

Спасибо. Скрипты выполнил. Инет заработал. Файлы карантина высылаю. А после загрузки все равно спрашивает "Работать автономно" ???

[PavelA]

К моему глубокому сожалению , лечение надо будет продолжать. Гадости накопили изрядно. После анализа карантина напишем новый скрипт для удаления оставшегося зверья.

[Леонид]

Спасибо. Жду скрипт.
Неужели так много зверья ???

[PavelA]

Не вижу карантина. Номер темы 8527. Загружать через форму для загрузки.

[Леонид]

Файл карантина загружал 20.03.07 около 21.00 с зараженого компа.
Смогу опять послать только вечером, т.к. с собой его нет........

[PavelA]

http://virusinfo.info/showthread.php?t=8527 - ссылка на тему.

Загружать через http://virusinfo.info/upload_virus.php?tid=8527

[Леонид]

Файл карантина закачал .....

[Bratez]

В присланном:
jrplivcn.dll - программа-реклама not-a-virus:AdWare.Win32.Virtumonde.gf
lnwin.exe, adirss.exe, adirka.exe - вирус Email-Worm.Win32.Zhelatin.d
(по Касперскому)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\jrplivcn.dll');
 DeleteFile('c:\windows\system32\lnwin.exe');
 DeleteFile('c:\windows\system32\adirss.exe');
 DeleteFile('c:\windows\system32\adirka.exe');
 DeleteFile('C:\WINDOWS\System32\vtstq.dll');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки сделайте новые логи.

[Shu_b]

vtstq.dll - Trojan.Virtumod, KAV его пока не определяет, так же добавлен в скрипт.

[Леонид]

Скрипт выполнил. Высылаю новые логи.

[drongo]

1.Пофиксить в HijackThis( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\bhslnnnr.dll (file missing)
O2 - BHO: (no name) - {B79EB3B0-60D7-4675-A970-68F9D7AA98C8} - C:\WINDOWS\System32\vtstq.dll (file missing)
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: vtstq - C:\WINDOWS\
O23 - Service: Debug Config System - Unknown owner - C:\WINDOWS\system32\lrsys.exe (file missing)
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
O23 - Service: Windows Task Manager - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  ClearQuarantine();
  QuarantineFile('C:\WINDOWS\system32\vcmon.exe','');
  QuarantineFile('C:\WINDOWS\wintasks32.exe','');
  QuarantineFile('C:\WINDOWS\system32\lrsys.exe','');
  QuarantineFile('C:\WINDOWS\system32\cscentfy.dll','');
  QuarantineFile('C:\WINDOWS\System32\taskmngr32.exe','');
  QuarantineFile('C:\WINDOWS\system32\zu.exe.exe','');
  QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\CE7.tmp','');
  DeleteFile('C:\WINDOWS\system32\bhslnnnr.dll');
  DeleteFile('C:\WINDOWS\System32\vtstq.dll');
 ExecuteSysClean;
RebootWindows(false);
end.

Прислать карантин согласно приложения 3 правил .

3.Найдите вот этим способом( http://virusinfo.info/showthread.php?t=4567) файл :svcchost.exe
и тоже пришлите (там написано как) :

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\adirka.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
  2. c:\\windows\\system32\\adirss.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
  3. c:\\windows\\system32\\jrplivcn.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
  4. c:\\windows\\system32\\lnwin.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
  5. c:\\windows\\system32\\vtstq.dll - not-a-virus:AdWare.Win32.Virtumonde.gen (DrWEB: Trojan.Virtumod)