Здравствуйте!
Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
Логи в аттаче, будьте добры, посмотрите, пожалуйста.
Заранее благодарен.
С уважением.
Здравствуйте!
Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
Логи в аттаче, будьте добры, посмотрите, пожалуйста.
Заранее благодарен.
С уважением.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cpl_moh.cpl',''); QuarantineFile('C:\WINDOWS\system32\AdvUninstCPL.cpl',''); QuarantineFile('C:\WINDOWS\system32\CD_Load.exe',''); QuarantineFile('C:\WINDOWS\system32\COMPT.sys',''); QuarantineFile('C:\WINDOWS\system32\wintuh32.dll',''); QuarantineFile('C:\WINDOWS\system32\byxvtts.dll',''); QuarantineFile('C:\WINDOWS\system32\ckldrv.sys',''); QuarantineFile('C:\WINDOWS\system32\cd_clint.dll',''); QuarantineFile('C:\WINDOWS\system32\mlljj.dll',''); QuarantineFile('C:\WINDOWS\system32\byxvtts.dll',''); QuarantineFile('c:\program files\kaspersky lab\kaspersky anti-virus 6.0\updater2005.ppl',''); QuarantineFile('C:\Documents and Settings\Andy.HOME-QKICGUK841\Local Settings\Temporary Internet Files\Content.IE5\4KD090HS\openpass[1].zip/{ZIP}/OPENPASS.EXE',''); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9301.......
Последний раз редактировалось drongo; 26.04.2007 в 13:09.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо за ответ.
К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
@Drongo Думаю, последнюю фразу надо вставить в шаблон письма.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, действительно, Вы правы, что-то я сглупил.
Если позволите, я дополню картину теперешней ситуации: при загрузке в безопасном режиме, экран становится чёрным с надписями по углам "безопасный режим", но есть возможность по Ctrl+Alt+Del вызывать диспетчер задач, и соответственно, командную строку. Попытки восстановить (потому как оказалась уничтоженной) ветку реестра CurrentControlSet с помощью AVZ (восстановление системы) или импортом скореектированной CurrentControlSet001, не привели к "оживлению" экрана в безопасном режиме. Это я пишу на случай того, что если придётся выполнять какие-то действия в безопасном режиме, достаточно ли будет командной строки?
Если в нормальном не грузиться,
можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Добрый вечер!
Карантин по ссылке загрузил, с нетерпением буду ждать результатов обследования.
С уважением.
Из того, что прислали: C:\WINDOWS\system32\CD_Load.exe - a variant of Win32/Adware.Cydoor (по Nod32)
C:\WINDOWS\system32\mlljj.dll - Trojan.Virtumod (по DrWeb)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ и сделайте, пожалуйста, новые логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\byxvtts.dll',''); QuarantineFile('C:\WINDOWS\system32\COMPT.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-117609710-583907252-725345543-1003\Dc153.dll'); DeleteFile('C:\WINDOWS\system32\CD_Load.exe'); DeleteFile('C:\WINDOWS\system32\mlljj.dll'); DeleteFile('byxvtts.dll'); DeleteFile('wintuh32.dll'); DeleteFile('C:\WINDOWS\system32\byxvtts.dll'); ExecuteSysClean; BC_Importall; BC_Activate; RebootWindows(true); end.
Всё понял, действую.
Закачал карантин, сделанный сразу после выполнения Вашего скрипта - файл "virus_1". Затем закачал карантин, сделанный после стандартного скрипта "лечения/карантина и сбора..."- это файл "virus".
Логи прикладываю.
Странно, живучие однако.Или вы те же логи загрузили ?
в общем отключиться от инета , отключить антивирус , выполнить скрипт:
после перегрузки включить антивирус и сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine(); QuarantineFile('c:\windows\system32\tlntsvr.exe',''); QuarantineFile('C:\WINDOWS\system32\habuwoow.dll',''); BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll'); BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите , то что попадёт на сей раз в карантин .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Форум работает круглосуточно Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.
В программе Hijackthis пофиксите строчки:Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing) O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing) O20 - Winlogon Notify: byxvtts - C:\WINDOWS\ O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing) O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\habuwoow.dll'); QuarantineFile('C:\Program Files\UltraISO\isoshell.dll',''); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Numb; 27.04.2007 в 01:01. Причина: Исправлен скрипт AVZ
C:\WINDOWS\system32\habuwoow.dll - Trojan.Virtumod(по DrWeb). Практически все, что сегодня насобирали, DrWeb детектит, так что, думаю, хорошо бы, в дополнение, скачать CureIt! и проверить систему, загрузившись в безопасном режиме
Добрый вечер!
Выкладываю логи и карантин. В последнем что-то не то с датой и временем создания одного из файлов, но почему так получилось- затрудняюсь сказать. Не знаю, драматично ли неправильно я поступил, запустив в промежутках между созданием логов КАВа, но он при этом обнаружил 3 новых .длл, идентифицировав их как Virtumonde.
Жду дальнейших указаний.
Уважаемый(ая) AndyR0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.