VIRUS ALERT!

Printable View

22.07.2008, 20:55
Davik

Вложений: 3

VIRUS ALERT!

С помощью SpyWare Doctor некоторые симптомы удалось вылечить.
Оставшиеся симптомы:
- Формат времени - hh:mm: VIRUS ALERT!
- Отключена возможность входа в Свойства Рабочего Стола
- Отключен редактор реестра
- В "Моем Компьютере" отсутствует диск С, в ТоталКомандере и проводнике - есть.
- Пуск > Настройка - присутствует только один пункт (Панель задач и меню "Пуск")
- В свойствах "Моего Компьютера" вместо имени компьютера - ник какого-то хакера...
- Может еще кое-что, что я еще не обнаружил :(.

Логи прилашаются.

Заранее благодарю!
22.07.2008, 21:15
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\qndsfmao.dll','');
QuarantineFile('C:\Documents and Settings\Home\Local Settings\Temp\lwpwer.exe','');
QuarantineFile('D:\sysnt.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\nfavxwdbpgs.dll','');
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
DelBHO('{4ddf9bcd-32ca-4d63-94b3-bca990d3bffc}');
DelBHO('{37B5B22C-593A-471C-9C54-238CB6847D40}');
QuarantineFile('C:\WINDOWS\wnslvxtf.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
QuarantineFile('C:\DOCUME~1\Home\LOCALS~1\Temp\atmadm2.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\eqvwamkl.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGwXPHX.dll','');
QuarantineFile('C:\WINDOWS\system32\kimqbn.dll','');
QuarantineFile('C:\WINDOWS\system32\iifdebcd.dll','');
QuarantineFile('C:\WINDOWS\system32\eoteruna.dll','');
DeleteFile('C:\WINDOWS\system32\eoteruna.dll');
DeleteFile('C:\WINDOWS\system32\iifdebcd.dll');
DeleteFile('C:\WINDOWS\system32\kimqbn.dll');
DeleteFile('C:\WINDOWS\system32\hgGwXPHX.dll');
DeleteFile('C:\WINDOWS\eqvwamkl.dll');
DeleteFile('hgGwXPHX.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\atmadm2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\WINDOWS\wnslvxtf.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\sysnt.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\sysnt.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\sysnt.exe');
DeleteFile('C:\Documents and Settings\Home\Local Settings\Temp\lwpwer.exe');
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26902[/url]

Повторите логи.
23.07.2008, 11:46
Davik

Вложений: 1

После скрипта все встало на свои места!
Но все еще в названии компьютера остался ник хакера.
На всякий случай прикрепляю скрин. Мне все еще надо прислать Вам карантин и 3 лога? Просто не хочу занимать Ваше время, ведь у меня уже все ок.

Ваш форум - просто чудо. Огромное спасибо за помощь!
23.07.2008, 11:51
Rene-gad

Как убрать надпись VIRUS ALERT!
[QUOTE=Bratez]
Панель управления - Язык и региональные стандарты - кнопка Настройка - вкладка Время, залезть курсором в графу "Формат времени" и убрать эту чепуху [/QUOTE]
[QUOTE=Davik;258486]Мне все еще надо прислать Вам карантин и 3 лога? [/QUOTE]Да.
[QUOTE]Просто не хочу занимать Ваше время, ведь у меня уже все ок. [/QUOTE]
А Вы уверены?
23.07.2008, 12:31
Davik

Вложений: 3

Карантин отправил. Вот логи.
23.07.2008, 12:38
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {769D8280-A207-4EEA-9963-F8B156C32855} - C:\WINDOWS\system32\hgGwXPHX.dll (file missing)
O2 - BHO: (no name) - {93E5688E-B235-4832-8A70-4AEAB77C8B3E} - C:\WINDOWS\system32\iifdebcd.dll (file missing)
O2 - BHO: WRL Advisor - {FE0F4B4F-A5A0-4529-BC78-1B04220F45E6} - C:\WINDOWS\nfavxwdbpgs.dll
O3 - Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - C:\WINDOWS\qndsfmao.dll (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
DelBHO('{93E5688E-B235-4832-8A70-4AEAB77C8B3E}');
DelBHO('{FE0F4B4F-A5A0-4529-BC78-1B04220F45E6}');
DelBHO('{3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D}');
QuarantineFile('C:\WINDOWS\nfavxwdbpgs.dll','');
QuarantineFile('C:\WINDOWS\system32\iifdebcd.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGwXPHX.dll','');
QuarantineFile('C:\WINDOWS\qndsfmao.dll','');
DeleteFile('C:\WINDOWS\qndsfmao.dll');
DeleteFile('C:\WINDOWS\system32\hgGwXPHX.dll');
DeleteFile('C:\WINDOWS\system32\iifdebcd.dll');
DeleteFile('C:\WINDOWS\nfavxwdbpgs.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
22.02.2009, 06:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\home\\local settings\\temp\\lwpwer.exe - [B]not-a-virus:FraudTool.Win32.WinAntiVirus.ae[/B] (DrWEB: archive: Trojan.Fakealert.1396)[*] c:\\windows\\eqvwamkl.dll - [B]Trojan.Win32.Vapsup.hbo[/B][*] c:\\windows\\nfavxwdbpgs.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yyv[/B] (DrWEB: Trojan.Fakealert.3339)[*] c:\\windows\\system32\\eoteruna.dll - [B]Trojan.Win32.Monder.fwe[/B] (DrWEB: Trojan.Proxy.3971)[*] c:\\windows\\system32\\hggwxphx.dll - [B]Trojan.Win32.Monderb.ads[/B] (DrWEB: Trojan.Virtumod.460)[*] c:\\windows\\system32\\iifdebcd.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yyu[/B] (DrWEB: Trojan.Virtumod.441)[*] c:\\windows\\system32\\kimqbn.dll - [B]Trojan.Win32.Monder.axp[/B] (DrWEB: Trojan.Virtumod.based.18)[*] d:\\sysnt.exe - [B]Trojan-Banker.Win32.Banker.qld[/B] (DrWEB: Trojan.PWS.Banker.22277)[/LIST][/LIST]