Помогите пожалуйста весь в вирусах!!!

Printable View

30.04.2008, 13:57
Руслан1969

Вложений: 2

Помогите пожалуйста весь в вирусах!!!

Комп шлет почту куда попало
30.04.2008, 14:01
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\winlogon.exe');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\documents and settings\user\local settings\temp\gain_trickler_3202.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('CcEvtSvc.sys','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Lpt72.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('CcEvtSvc.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
BC_DeleteSvc('Lpt72');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22273[/url]

Повторите логи только все 3.
30.04.2008, 14:43
Руслан1969

Запустил AVZ зашел в папку с карантином отметил пять файлов нажал архив поместил в папку а там ничего не прописывается?
30.04.2008, 14:49
wise-wistful

Логи новые сделайте.
30.04.2008, 15:21
Руслан1969

Вложений: 3

Последние логи
30.04.2008, 15:36
Bratez

Выполните скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Lpt72\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Lpt72.sys');
BC_DeleteSvc('Lpt72');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Lpt72.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки повторите лог syscheck - п.10 правил.
Если вдруг система откажется грузиться, выбирайте по F8 Последнюю удачную конфигурацию.
30.04.2008, 16:02
Руслан1969

Вложений: 1

Лог
30.04.2008, 16:13
wise-wistful

Скачайте [url=http://wise-wistful.ifolder.ru/6132475]IceSword[/url].

Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\drivers\Lpt72.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Lpt72.sys');
BC_ImportAll;
BC_DeleteSvc('Lpt72');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи начиная с п.10 правил.
30.04.2008, 22:05
Руслан1969

Вложений: 2

Логи
30.04.2008, 23:42
wise-wistful

[b]gain_trickler_3202.exe[/b] - поищите при помощи АВЗ--сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.
Пофиксите
[code]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\[/code]
30.04.2008, 23:57
Руслан1969

АВЗ ничего не обнаружил, в карантине пусто.
Профиксил согласно правил ничего нет.
Комп Почту уже не шлет работает нормально.
Но все же что за хвосты?
01.05.2008, 02:34
Bratez

gain_trickler - это адварка от бесплатного DivX, видимо ранее удалена антивирусом.
Пофиксите еще эти строчки:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\user\local settings\temp\gain_trickler_3202.exe"
[/code]
и выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
DeleteFile('C:\WINDOWS\system32\WinData.cab');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин и повторите два последних лога.
01.05.2008, 09:42
Руслан1969

Вложений: 2

Последние логи, карантин так же выслал
01.05.2008, 10:53
Гриша

В логах чисто,жалобы есть?
01.05.2008, 14:23
Руслан1969

Огромное спасибо , дай вам бог здоровья и счастья:)
01.05.2008, 20:26
wise-wistful

Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
22.02.2009, 05:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00001.dta - [B]Trojan-Downloader.Win32.Small.vaa[/B] (DrWEB: Trojan.DownLoader.57335)[*] \\avz00001.dta - [B]Trojan.Win32.Inject.beh[/B] (DrWEB: Trojan.MulDrop.14558)[*] \\avz00002.dta - [B]Trojan-Proxy.Win32.Small.mw[/B] (DrWEB: Trojan.Packed.573)[*] \\avz00003.dta - [B]Email-Worm.Win32.Zhelatin.yd[/B] (DrWEB: Trojan.Packed.438)[*] \\avz00004.dta - [B]Trojan.Win32.Inject.beh[/B] (DrWEB: Trojan.MulDrop.14558)[*] \\avz00005.dta - [B]Trojan-Downloader.Win32.Small.vaa[/B] (DrWEB: Trojan.DownLoader.57335)[/LIST][/LIST]