Троян который не лечит ДокВеб и Окно с winantivirus задолбала
:)need your help
Троян который не лечит ДокВеб и Окно с winantivirus задолбала
:)need your help
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nyvquuqx.dll','');
QuarantineFile('C:\WINDOWS\system32\oirxcfiv.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\tuvsssr.dll','');
QuarantineFile('C:\WINDOWS\system32\bcrmskvt.dll','');
QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe','');
QuarantineFile('C:\WINDOWS\system32\gbnwlrcm.exe','');
QuarantineFile('C:\WINDOWS\system32\jkfqavch.dll','');
QuarantineFile('C:\WINDOWS\system32\jpiqhwlg.exe','');
QuarantineFile('C:\WINDOWS\system32\majhwoma.dll','');
QuarantineFile('C:\WINDOWS\system32\rytjmrxk.dll','');
QuarantineFile('C:\WINDOWS\system32\uswnowdj.exe','');
QuarantineFile('C:\WINDOWS\system32\xuuoswra.dll','');
QuarantineFile('C:\WINDOWS\system32\crbkiwfs.exe','');
QuarantineFile('C:\WINDOWS\system32\davxtupp.exe','');
QuarantineFile('C:\WINDOWS\system32\ddccb.dll','');
QuarantineFile('C:\WINDOWS\system32\dnxclrgu.exe','');
QuarantineFile('C:\WINDOWS\system32\dskiy.exe','');
QuarantineFile('C:\WINDOWS\system32\enwalumy.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
2.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10486[/url]
в дополнение к скрипту [B]drongo[/B]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\enwalumy.dll','');
QuarantineFile('C:\WINDOWS\system32\dskiy.exe','');
BC_QrSvc('AFSEGTGF Windows Service');
BC_DeleteSvc('AFSEGTGF Windows Service');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10486[/url]
Я выполнил 1ый скрипт комп хотел выключится и завис,
я выключил кнопкой, перезагрузил, и отправил вам карантинный файл.
Как я буду выполнять второй скрипт и отправлять файл по той же ссылке
с тем же именем.
НЕ ЛОГИЧНО как то.
[QUOTE]НЕ ЛОГИЧНО как то.[/QUOTE]
Все нормально. Чтобы два раза одно и то же не закачивать, удалите в папке программы AVZ папку Quarantine, затем выполните скрипт [B]Muzzle[/B] и пришлите новый карантин по правилам.
ВСе зделал как просили, ЖДУ от вас помощи господа.
Доктер Веб сигнализирует о все прогрессирующем вирусе Trojan.Virtumod
уже два файла в папке system32 заражены:
ddccb.dll
dfgqodcb.dll
[QUOTE]уже два файла в папке system32 заражены:[/QUOTE]
Если бы только два!!
В карантине все файлы вредоносные, присутствуют следующие виды:
[B]not-a-virus:Downloader.Win32.WinFixer.l
not-a-virus:AdWare.Win32.Virtumonde.fp
not-a-virus:AdWare.Win32.Virtumonde.jp
not-a-virus:AdWare.Win32.BHO.v
Trojan.Win32.Agent.anr[/B]
Сейчас напишу скрипт...
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\crbkiwfs.exe');
DeleteFile('C:\WINDOWS\system32\davxtupp.exe');
DeleteFile('C:\WINDOWS\system32\dnxclrgu.exe');
DeleteFile('C:\WINDOWS\system32\gbnwlrcm.exe');
DeleteFile('C:\WINDOWS\system32\jkfqavch.dll');
DeleteFile('C:\WINDOWS\system32\jpiqhwlg.exe');
DeleteFile('C:\WINDOWS\system32\majhwoma.dll');
DeleteFile('C:\WINDOWS\system32\rytjmrxk.dll');
DeleteFile('C:\WINDOWS\system32\uswnowdj.exe');
DeleteFile('C:\WINDOWS\system32\xuuoswra.dll');
DeleteFile('C:\WINDOWS\system32\ybajqnpd.exe');
DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe');
DeleteFile('C:\WINDOWS\system32\bcrmskvt.dll');
DeleteFile('C:\WINDOWS\system32\ddccb.dll');
DeleteFile('C:\WINDOWS\system32\tuvsssr.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\oirxcfiv.dll');
DeleteFile('C:\WINDOWS\system32\nyvquuqx.dll');
DeleteFile('C:\WINDOWS\system32\enwalumy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи п.10-13 правил.
Вот теперь мне намного спокойнее.
наверно
Профиксить остатки в HijackThis
[CODE]
O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - C:\WINDOWS\system32\tuvsssr.dll (file missing)
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\oirxcfiv.dll (file missing)
O2 - BHO: (no name) - {8B8DBCEE-DFB5-44D6-8559-4ABC10BD0106} - C:\WINDOWS\system32\ddccb.dll (file missing)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\nyvquuqx.dll (file missing)
O20 - Winlogon Notify: ddccb - C:\WINDOWS\
O20 - Winlogon Notify: tuvsssr - tuvsssr.dll (file missing)
[/CODE]
в дополнение обновить java.
Нет, не все так хорошо, еще один активный зловред появился!
Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iqxdssdf.dll','');
DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll');
BC_DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Свежий карантин пришлите по правилам.
И сделайте еще раз все три лога, эти Virtumonde имеют свойство плодиться в папке system32 и валяться там как у себя дома ;)
Вот обновил java
ВСе скрипты сделал, карантин отослал
еще
Заметил такую особенность Я всех вижу по локальной сети
а меня нет почему то, это из-за чего интересно,
неужеле virtualmod паразитирует,
мне кажется мы боремся с хвостами, есть ли у него тело,
что бы сразу убить наповал.
если это микробы тогда нужна мощная химотерапия
под кодовым названием "всех сразу в один миг".
[QUOTE=ILYA04;117282]
Заметил такую особенность Я всех вижу по локальной сети
а меня нет почему то, это из-за чего интересно,
неужеле virtualmod паразитирует,
мне кажется мы боремся с хвостами, есть ли у него тело,
что бы сразу убить наповал.
если это микробы тогда нужна мощная химотерапия
под кодовым названием "всех сразу в один миг".[/QUOTE]
Бороться можно очень-очень долго, если не отключать "Восстановление системы". Все будет восст. как птица Феникс из пепла.
все повторил без феникса
Если посмотришь логи, то на порядок чище стало.:)
Выполняем, после перезагрузки присылаем карантин.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe' ,'');
QuarantineFile('C:\WINDOWS\system32\oaynsjcl.dll' ,'' );
RebootWindows(true);
end.[/CODE]
Я отослал карантин.
Как в опере отключить java скрипты?
они мне нафиг не нужны.
opr0044E.exe - на вот это мой Симантек заругался.
Будем удалять:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe');
DeleteFile('C:\WINDOWS\system32\oaynsjcl.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После этого новые логи.
[quote=ILYA04;117532]Я отослал карантин.
Как в опере отключить java скрипты?
они мне нафиг не нужны.[/quote]
[url]http://virusinfo.info/showthread.php?t=6577[/url]
АВЗ ругается на последний скрипт
Ошибка скрипта: Too many actual parameters, позиция [4:11]
Еще меня по локальной сети не видят другие компы
вернее видят но зайти с них на мой комп нельзя
ругается какой то красной табличкой