В трее рядом с часами надпись "Virus alert!". Переодически выскакивает окошко "Windows has detected an Internet attack attempt...", ломится в инет.На раб. столе появились ярлыки якобы антивируса. Вот так:( Помогите, пожалуйста
Printable View
В трее рядом с часами надпись "Virus alert!". Переодически выскакивает окошко "Windows has detected an Internet attack attempt...", ломится в инет.На раб. столе появились ярлыки якобы антивируса. Вот так:( Помогите, пожалуйста
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\ctsfm2k.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nvatabus.sys','');
QuarantineFile('updateex.sys','');
DeleteService('mpr_freader');
QuarantineFile('C:\WINDOWS\system32\drivers\hap16v2k.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctdvda2k.sys','');
DeleteService('updateex');
QuarantineFile('C:\WINDOWS\system32\drivers\PfModNT.sys','');
DeleteService('BTHUSB2k');
StopService('BTHUSB2k');
DeleteService('acpint');
StopService('acpint');
QuarantineFile('C:\Documents and Settings\K@shey\Local Settings\Temporary Internet Files\Content.IE5\XZ664ZA4\1215183929[1].exe','');
QuarantineFile('C:\Program Files\Creative\SBLive\Diagnostics\RestEng.dll','');
QuarantineFile('c:\windows\okmdepgb.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\updateex.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpint.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\BTHUSB2k.sys','');
DelBHO('{61D1EA3E-A930-4BEB-B16B-D7212B5C5A4C}');
DelBHO('{75120D8A-C869-4A41-9D18-E37BF9CC4F8A}');
DelBHO('{0BD071A6-C989-49E8-9B8E-80F92A868E26}');
QuarantineFile('C:\WINDOWS\system32\734914\734914.dll','');
QuarantineFile('C:\WINDOWS\Resources\BootRunOnce.dll','');
QuarantineFile('C:\WINDOWS\axrfgvek.dll','');
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('C:\WINDOWS\okmdepgb.dll','');
QuarantineFile('C:\WINDOWS\nqgpedlr.dll','');
QuarantineFile('C:\WINDOWS\kgqfweltgnr.dll','');
DeleteFile('C:\WINDOWS\kgqfweltgnr.dll');
DeleteFile('C:\WINDOWS\nqgpedlr.dll');
DeleteFile('C:\WINDOWS\okmdepgb.dll');
DeleteFile('C:\WINDOWS\axrfgvek.dll');
DeleteFile('C:\WINDOWS\system32\734914\734914.dll');
DeleteFile('c:\windows\okmdepgb.dll');
DeleteFile('C:\Documents and Settings\K@shey\Local Settings\Temporary Internet Files\Content.IE5\XZ664ZA4\1215183929[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\updateex.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpint.sys');
DeleteFile('C:\WINDOWS\system32\drivers\BTHUSB2k.sys');
DeleteFile('updateex.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25909[/url]
2. Повторите логи.
Кроме выскакивающего окошка остальные симптомы остались. :(
Прилагаю логи
Авз - Мастер поиска и устранения проблем - выбрать все устранить ....
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HZGEYWX0\1215189476[1].exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HZGEYWX0\1215189476[1].exe');
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Скрипты помогли, спасибо. Внешне всё выглядит нормально:). Вот логи
По карантину:
1215183929[1].exe_ - Trojan-Downloader.Win32.Small.xpe,
axrfgvek.dll - Trojan.Win32.Vapsup.hoi,
BootRunOnce.dll - Trojan.Win32.Agent.ryf,
kgqfweltgnr.dll - Trojan.Win32.Vapsup.hrl,
nqgpedlr.dll - Trojan.Win32.Vapsup.hrj,
okmdepgb.dll - Trojan.Win32.Vapsup.hou
734914.dll - not-a-virus:AdWare.Win32.E404.ep
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
DeleteService('mpr_freader');
DeleteFile('C:\WINDOWS\Resources\BootRunOnce.dll');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O21 - SSODL: okmdepgb - {B222598C-E090-48E2-A624-C3B62CD22BFA} - (no file)
O21 - SSODL: BootRunOnce - {1369b215-a961-49fe-8be0-8390f7e47ff6} - C:\WINDOWS\Resources\BootRunOnce.dll[/CODE]
3. Повторите логи.
Всё пофиксил, кроме этой строчки
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
её не оказалось. Прилагаю логи.
Вроде все чисто.
Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
[quote=anton_dr;202455]
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?[/quote]
Вы можете его высказать в теме [url= http://virusinfo.info/showthread.php?t=19883]Скажи, что ты думаешь о Virusinfo[/url]
Большое спасибо всем, кто помогал :D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\hzgeywx0\\1215189476[1].exe - [B]Trojan-Downloader.Win32.Small.xpe[/B] (DrWEB: Trojan.DownLoad.1041)[*] c:\\documents and settings\\k@shey\\local settings\\temporary internet files\\content.ie5\\xz664za4\\1215183929[1].exe - [B]Trojan-Downloader.Win32.Small.xpe[/B] (DrWEB: Trojan.DownLoad.1041)[*] c:\\windows\\axrfgvek.dll - [B]Trojan.Win32.Vapsup.kee[/B] (DrWEB: Trojan.Popuper.6979)[*] c:\\windows\\kgqfweltgnr.dll - [B]Trojan.Win32.Vapsup.hrl[/B] (DrWEB: Trojan.Popuper.6981)[*] c:\\windows\\nqgpedlr.dll - [B]Trojan.Win32.Vapsup.hrj[/B] (DrWEB: Trojan.Popuper.6977)[*] c:\\windows\\okmdepgb.dll - [B]Trojan.Win32.Vapsup.hou[/B] (DrWEB: Trojan.Popuper.6980)[*] c:\\windows\\resources\\bootrunonce.dll - [B]Trojan.Win32.Agent.ryf[/B] (DrWEB: Trojan.Click.19206)[*] c:\\windows\\system32\\734914\\734914.dll - [B]not-a-virus:AdWare.Win32.E404.ep[/B] (DrWEB: Trojan.Siggen.151)[/LIST][/LIST]