Вчера у соседа вылезла проблема с вирями.
Сделал логи но отправить так и не смог... т.к. ни один браузер не открывает страницы ..... никаких сайтов ???
Соединение модемное - соединяется нормально, а страницы не открывает.
Логи отсылаю с работы....
Вчера у соседа вылезла проблема с вирями.
Сделал логи но отправить так и не смог... т.к. ни один браузер не открывает страницы ..... никаких сайтов ???
Соединение модемное - соединяется нормально, а страницы не открывает.
Логи отсылаю с работы....
Да еще забыл.... после загрузки пытается куда-то в инет лезть....
После перезагрузки прислать получившийся карантин, согласно Правил.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_QrFile('rsvp32_2.dll'); BC_QrFile('C:\WINDOWS\system32\bhslnnnr.dll'); BC_QrFile('svcchost.exe'); BC_QrFile('C:\WINDOWS\System32\vtstq.dll'); BC_QrFile('C:\WINDOWS\system32\jrplivcn.dll'); BC_QrFile('c:\windows\system32\lnwin.exe'); BC_QrFile('c:\windows\system32\adirss.exe'); BC_QrFile('c:\windows\system32\adirka.exe'); BC_QrFile('svcchost.exe'); BC_QrFile('rsvp32_2.dll'); BC_DeleteFile('svcchost.exe'); BC_DeleteFile('rsvp32_2.dll'); ExecuteSysClean; BC_ImportDeletedList; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
В тему вложить boot_clr.log из директории AVZ
Скорее всего, пропадет Интернет (хотя он и не работал)
Чтобы исправить выполните скрипт:
Если не поможет, то еще один:Код:begin ExecuteRepair(14); end.
Код:begin ExecuteRepair(15); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо. Вечером выполню.....
Спасибо. Скрипты выполнил. Инет заработал. Файлы карантина высылаю. А после загрузки все равно спрашивает "Работать автономно" ???
К моему глубокому сожалению , лечение надо будет продолжать. Гадости накопили изрядно. После анализа карантина напишем новый скрипт для удаления оставшегося зверья.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо. Жду скрипт.
Неужели так много зверья ???
Не вижу карантина. Номер темы 8527. Загружать через форму для загрузки.
Последний раз редактировалось PavelA; 22.03.2007 в 12:26. Причина: Не увидел карантина!!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл карантина загружал 20.03.07 около 21.00 с зараженого компа.
Смогу опять послать только вечером, т.к. с собой его нет........
http://virusinfo.info/showthread.php?t=8527 - ссылка на тему.
Загружать через http://virusinfo.info/upload_virus.php?tid=8527
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл карантина закачал .....
В присланном:
jrplivcn.dll - программа-реклама not-a-virus:AdWare.Win32.Virtumonde.gf
lnwin.exe, adirss.exe, adirka.exe - вирус Email-Worm.Win32.Zhelatin.d
(по Касперскому)
Выполните скрипт в AVZ:
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\jrplivcn.dll'); DeleteFile('c:\windows\system32\lnwin.exe'); DeleteFile('c:\windows\system32\adirss.exe'); DeleteFile('c:\windows\system32\adirka.exe'); DeleteFile('C:\WINDOWS\System32\vtstq.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Shu_b; 23.03.2007 в 10:31.
vtstq.dll - Trojan.Virtumod, KAV его пока не определяет, так же добавлен в скрипт.
Скрипт выполнил. Высылаю новые логи.
1.Пофиксить в HijackThis( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\bhslnnnr.dll (file missing) O2 - BHO: (no name) - {B79EB3B0-60D7-4675-A970-68F9D7AA98C8} - C:\WINDOWS\System32\vtstq.dll (file missing) O4 - HKLM\..\Run: [msvcc25] svcchost.exe O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: vtstq - C:\WINDOWS\ O23 - Service: Debug Config System - Unknown owner - C:\WINDOWS\system32\lrsys.exe (file missing) O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing) O23 - Service: Windows Task Manager - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine(); QuarantineFile('C:\WINDOWS\system32\vcmon.exe',''); QuarantineFile('C:\WINDOWS\wintasks32.exe',''); QuarantineFile('C:\WINDOWS\system32\lrsys.exe',''); QuarantineFile('C:\WINDOWS\system32\cscentfy.dll',''); QuarantineFile('C:\WINDOWS\System32\taskmngr32.exe',''); QuarantineFile('C:\WINDOWS\system32\zu.exe.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\CE7.tmp',''); DeleteFile('C:\WINDOWS\system32\bhslnnnr.dll'); DeleteFile('C:\WINDOWS\System32\vtstq.dll'); ExecuteSysClean; RebootWindows(false); end.
3.Найдите вот этим способом( http://virusinfo.info/showthread.php?t=4567) файл :svcchost.exe
и тоже пришлите (там написано как) :
Последний раз редактировалось drongo; 28.03.2007 в 12:52.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\adirka.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
- c:\\windows\\system32\\adirss.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
- c:\\windows\\system32\\jrplivcn.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\lnwin.exe - Email-Worm.Win32.Zhelatin.d (DrWEB: Trojan.Packed.56)
- c:\\windows\\system32\\vtstq.dll - not-a-virus:AdWare.Win32.Virtumonde.gen (DrWEB: Trojan.Virtumod)
Уважаемый(ая) Леонид, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.