Подхватил вирус , нужна проверка компьютера . Заранее спс .
Printable View
Подхватил вирус , нужна проверка компьютера . Заранее спс .
Уважаемый(ая) [B]Gen[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Hijackthis
Описание вируса : Блокирование всей системы под видом антивирусной программы.Что-то типа Your computer wos infected by 32win worm blaster(комп вис удалось выиграть время в деспетчере задач).На рабочем столе был
создан ярлык под названием "defender" желтого цвета . Через поисковик нашел и сам вирус под таким же ярлыком весящий 820 кб удалил... через несколько часов появляется ярлык на рабочем столе и тот же defender в папке application блокировав все. Переименовав ярлык и перезагрузив компьютер деятельность вируса остановилась но всеже он на компьютере.
А также несколько подозрительных действий от :
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF1DA3.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5575.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF55EE.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5628.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DFE479.tmp
Trojan.win32.VBkrypt.fwbo.
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKCU\..\Run: [file_4632] C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKCU\..\Run: [Security Protection] C:\Documents and Settings\All Users\Application Data\defender.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\D.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\defender.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\defender.exe');
DeleteFile('C:\WINDOWS\TEMP\D.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=108079[/url]).
[b]Обновите базы AVZ[/b] и сделайте новые логи согласно разделу [I]Диагностика[/I] правил.
Антивирус продолжает писать о спаме Trojan.win32.VBKrypt.fwbo
Логи сделал,карантин стараюсь выслать ( загружается и никак...)
Поработав еще и перезагрузив заметил уже как 15 минут флуда нет...( все стабильно)
P.s. карантин не загружается.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Карантин выслал...
После проверки avz прямое чтение неизвестных мне файлов:
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF1411.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF3F07.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5254.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF57A2.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5976.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF8EEE.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DFD384.tmp
Сделайте логи согласно правил раздела.
Сорри, логи переделал.Борьба с вирусом в силе.
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\TEMP\D.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\defender.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\aN02300CfGaA02300\aN02300CfGaA02300.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uosbfveg.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\uosbfveg.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\aN02300CfGaA02300\aN02300CfGaA02300.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\defender.exe');
DeleteFile('C:\WINDOWS\TEMP\D.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegSearch('HKLM', '', 'D.tmp');
SaveLog(GetAVZDirectory+'avz_log.txt');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Также прикрепите файл [B]avz_log.txt[/B] из папки с AVZ.
Просканировал через Малварбайтес( лог прикрепил ) Восстановил
[QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.[/QUOTE]
Сделал скрипт( некоторые проблеммы с карантином , нннекоторые инфицированные файлы были удалены до скрипта,возможно я пресылал их в прошлом карантине)
Вируса нет,спама нет,работа компьютера стабильная
спс за помощь
Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\20567');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\20567');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\20567');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\209db');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\209db');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\209db');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Повторите лог AVZ virusinfo_syscheck.zip
Лог.
Чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\defender.exe - [B]Trojan-Dropper.Win32.FrauDrop.xyrw[/B] ( DrWEB: Trojan.Fakealert.22273, BitDefender: Gen:Variant.Kazy.35811, AVAST4: Win32:MalOb-GS [Cryp] )[*] c:\\windows\\temp\\d.tmp - [B]Trojan-Dropper.Win32.FrauDrop.xyrw[/B] ( DrWEB: Trojan.Fakealert.22273, BitDefender: Trojan.Generic.KDV.341214, AVAST4: Win32:MalOb-HC [Cryp] )[/LIST][/LIST]