Опять Trojan.Gigagen
Я читал, предыдущие темы по поводу этого вируса, пытался сам чего то намутить по примерам, но нчиего не получилось =\\\ Я так и не понял как с помощью программы AVZ зайти в безопасный режим, если не сложно киньте ссылку где это написано. Ну вот вроде по правилам сделал, лог файлы. Будьте добры помогите пожалуйста. (последний файл пришлось заархивировать, т.к. привышал лимит).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится. Пришлите содержимое карантина по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Samson\Application Data\hidires\m_hook.sys',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll',''); QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll',''); QuarantineFile('e:\PROGRA~1\IECONT~1\BROWSE~1.DLL',''); QuarantineFile('xmm13g.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\wintems.exe',''); QuarantineFile('C:\WINDOWS\system32\win_56x.dll',''); QuarantineFile('C:\WINDOWS\system32\msvcrt64.dll',''); QuarantineFile('C:\WINDOWS\system32\drvddll.exe',''); QuarantineFile('C:\Documents and Settings\Samson\Application Data\m\flec006.exe',''); QuarantineFile('C:\Documents and Settings\Samson\Application Data\hidn\hidn2.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Выслал содержимое карантина. Еще раз спасибо за помощь.
C:\Documents and Settings\Samson\Application Data\hidires\m_hook.sys - Email-Worm.Win32.Bagle.gy
C:\WINDOWS\winlogon.exe - Trojan-Spy.Win32.Goldun.pe
C:\WINDOWS\system32\msvcrt64.dll - Win32/TrojanProxy.Agent.LB
e:\PROGRA~1\IECONT~1\BrowserHelper.dll - видимо чистый
Остальных скорее всего уже нет в живых.
Выполните скрипт в AVZ:
Компьютер перезагрузится. После этого сделайте новые логи п. 10 и 12 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Samson\Application Data\hidires\m_hook.sys'); DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll'); DeleteFile('C:\WINDOWS\system32\ipv6mons.dll'); DeleteFile('xmm13g.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\wintems.exe'); DeleteFile('C:\WINDOWS\system32\win_56x.dll'); DeleteFile('C:\WINDOWS\system32\msvcrt64.dll'); DeleteFile('C:\WINDOWS\system32\drvddll.exe'); DeleteFile('C:\Documents and Settings\Samson\Application Data\m\flec006.exe'); DeleteFile('C:\Documents and Settings\Samson\Application Data\hidn\hidn2.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 07.04.2007 в 11:57.
Извиняюсь - забыл: перед созданием логов пофиксите
Остальной "мусор" должен удалиться при выполнении скрипта.Код:F2 - REG:system.ini: Shell=Explorer.exe,Microsoft.com O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
Прошу прощения, а как пофиксить??
http://virusinfo.info/showthread.php?t=4491Прошу прощения, а как пофиксить??
Вот новые логи
Все в порядке. Осталось пофиксить вот это:
Больше ничего вредоносного у вас нет.Код:O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: xmm13g - C:\WINDOWS\ O21 - SSODL: msvcrt64.dll - {3E457A69-A75D-495E-BA86-FD9B154080E9} - msvcrt64.dll (file missing)
Настоятельно рекомендуется установить антивирус!
Иначе скоро опять увидим вас среди авторов тем этого раздела
Спасибо вам огромное =)
Касперский файл e:\PROGRA~1\IECONT~1\BROWSE~1.DLL теперь определяет как Trojan.Win32.BHO.as
Если что-то не так с системой, то он следующий кандидат на удаление.
Действительно - новенький! Ну тогда надо еще один файл проверить.
Выполните скрипт:
Пришлите то, что попадет в карантин, по правилам.Код:begin ClearQuarantine; QuarantineFile('e:\PROGRA~1\IECONT~1\wdeui_pr.dll',''); end.
Хотя, насколько я понимаю, это вполне себе безобидная программулина:
Инструмент спамера - за это и загремела в вирусные базыIE Contacts Spy является плагином для Internet Explorer, который извлекает все возможные контакты с посещаемых вами сайтов. Он работает незаметно для пользователя и извлекает максимально возможное число контактной информации.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\samson\\application data\\hidires\\m_hook.sys - Email-Worm.Win32.Bagle.gy (DrWEB: Trojan.Gigagen)
- c:\\windows\\system32\\msvcrt64.dll - Trojan-Proxy.Win32.Agent.lb (DrWEB: BackDoor.Shellbot)
- c:\\windows\\winlogon.exe - Trojan-Spy.Win32.Goldun.pe (DrWEB: Trojan.PWS.GoldSpy)
Уважаемый(ая) Samson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
