Два Трояна не удаляются

Printable View

22.04.2008, 23:50
tiras17

Вложений: 3

Два Трояна не удаляются

[SIZE=3][FONT=Times New Roman]Имя вируса WIN32:Tibs-ADO(Trj) зараженная папка С:\WINDOWS\system32\univrs32.dat удаляю Авастом после перезагрузки появляется опять. [/FONT][/SIZE]
[FONT='Times New Roman']На следующий день Аваст обнаружился [/FONT][FONT='Times New Roman']WIN[/FONT][FONT='Times New Roman']32:[/FONT][FONT='Times New Roman']Adware[/FONT][FONT='Times New Roman']-[/FONT][FONT='Times New Roman']gen[/FONT][FONT='Times New Roman']([/FONT][FONT='Times New Roman']Adv[/FONT][FONT='Times New Roman']) зараженная папка С:\[/FONT][FONT='Times New Roman']WINDOWS[/FONT][FONT='Times New Roman']\[/FONT][FONT='Times New Roman']system[/FONT][FONT='Times New Roman']32\[/FONT][FONT='Times New Roman']winivstr[/FONT][FONT='Times New Roman'].[/FONT][FONT='Times New Roman']exe[/FONT][FONT='Times New Roman'] и [/FONT][FONT='Times New Roman']C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\G5A3MPU1\Installer2[1].exe[/FONT][FONT='Times New Roman']после перзагрузки появляется опять, начал глючить [/FONT][FONT='Times New Roman']Explorer[/FONT][FONT='Times New Roman']и постоянно выскакивает окно [/FONT][FONT='Times New Roman']winivstr[/FONT][FONT='Times New Roman'].[/FONT][FONT='Times New Roman']exe[/FONT][FONT='Times New Roman']и предупреждение: Процессор [/FONT][FONT='Times New Roman']NTVDM[/FONT][FONT='Times New Roman']обнаружил недопустимую инструкцию [/FONT]
22.04.2008, 23:57
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Installer2[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\pbpq.exe','');
QuarantineFile('C:\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Installer2[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21915[/url]

Повторите логи.
23.04.2008, 00:30
tiras17

Вложений: 3

Пока ничего только при перезагрузке появился [FONT='Times New Roman']WIN[/FONT][FONT='Times New Roman']32:[/FONT][FONT='Times New Roman']Agent-RNK[/FONT][FONT='Times New Roman']([/FONT][FONT='Times New Roman']Trj[/FONT][FONT='Times New Roman'])[/FONT]
[FONT='Times New Roman']Когда можно включить востановление системы[/FONT]
23.04.2008, 00:41
wise-wistful

Скачайте [url=http://wise-wistful.ifolder.ru/6132475]IceSword[/url].

Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем c:\windows\system32\braviax.exe и C:\WINDOWS\system32\univrs32.dat.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Installer2[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\pbpq.exe','');
QuarantineFile('C:\Temp\winlogon.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Installer2[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
23.04.2008, 19:37
tiras17

Вложений: 3

[COLOR=black][FONT=Verdana]искал через поисковик и АВЗ такого файла нет C:\WINDOWS\system32\univrs32.dat. [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]пока не помогло[/FONT][/COLOR]
23.04.2008, 20:13
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Binaries1[1].zip');
DeleteFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\C1QRSHUJ\Installer2[1].exe');
DeleteFile('C:\TEMP\Binaries1.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи.
23.04.2008, 20:46
tiras17

Вложений: 3

Вирусы пока на месте. При выполнении скрипта компьютер сам перегрузился но вроде успел выполнить, а при выполнении п.8 появляется окно- win Reanimator-installation и начинается инсталяция не знаю что это на всякий случай закрываю.
23.04.2008, 21:04
tiras17

появился файл univrs32.dat. вместе с Trojan.Click.5043. удалил с помощью [URL="http://wise-wistful.ifolder.ru/6132475"]IceSword[/URL]
23.04.2008, 22:16
kps

Перед выполнением скрипта [b]обязательно[/b] отключите восстановление системы, как написано в правилах. Отключите антивирус и отключитесь от интернета.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\pbpq.exe','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('c:\windows\system32\winivstr.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\winivstr.exe');
DeleteFile('c:\windows\system32\univrs32.dat');
DeleteFile('C:\Documents and Settings\IGOR\Local Settings\Temporary Internet Files\Content.IE5\ZRJTUDWO\Installer2[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21915[/url] ).

Сделайте новые логи.