Вирус

Printable View

01.08.2008, 00:40
xlim

Вирус

Закрывает все окна. Невозможно ничего открыть - сразу появляется окно с предложением оправить отчет об ошибке.
01.08.2008, 00:52
akok

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('mickey32', 4);
SetServiceStart('ethgjppp', 4);
QuarantineFile('C:\Documents and Settings\user\svchosts.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\system32\NvCpl.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethgjppp.sys','');
QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\nvsvc32.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\ethgjppp.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\user\svchosts.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteService('mickey32');
DeleteService('ethgjppp');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Логи повторите
01.08.2008, 13:25
xlim

Новые логи
01.08.2008, 13:36
Гриша

Не вижу вашего карантина?
02.08.2008, 01:21
xlim

закачали
02.08.2008, 10:00
Гриша

ethgjppp.sys - [B]Rootkit.Win32.Agent.byj [/B]
iexplorer.exe_ - [B]Trojan.Win32.Buzus.ogp [/B]
ntos.exe_ - [B]Trojan-Spy.Win32.Zbot.dmz[/B]
svchosts.exe_ - [B]Trojan-Spy.Win32.BZub.ebr [/B]
userinit.exe_ - [B]Trojan.Win32.Pakes.jwi[/B]

GoogleUpdaterService.exe_, lang.dll.bak, NvCpl.dll, nvsvc32.exe_

Вредоносный код в файлах не обнаружен.

userinit.exe замените на чистый из дистрибутива...

В логах чисто,жалобы есть?
02.08.2008, 13:48
xlim

Вы не будете так любезны подсказать как это - "userinit.exe замените на чистый из дистрибутива"?
02.08.2008, 14:26
Гриша

Взять установочный диск с виндой(или просто файл с такой операционки) и положить его сюда C:\WINDOWS\system32
22.02.2009, 06:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\svchosts.exe - [B]Trojan-Spy.Win32.BZub.ebr[/B] (DrWEB: Trojan.Siggen.156)[*] c:\\windows\\iexplorer.exe - [B]Trojan.Win32.Buzus.ogp[/B] (DrWEB: Trojan.MulDrop.18267)[*] c:\\windows\\system32\\drivers\\ethgjppp.sys - [B]Rootkit.Win32.Agent.byj[/B] (DrWEB: Trojan.Spambot.3478)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dmz[/B] (DrWEB: Trojan.Packed.511)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan.Win32.Pakes.jwi[/B] (DrWEB: Trojan.PWS.Lich)[*] \\2008-08-01\\bcqr00007.dta - [B]Trojan.Win32.Pakes.jwi[/B] (DrWEB: Trojan.PWS.Lich)[*] \\2008-08-01\\bcqr00008.dta - [B]Trojan.Win32.Pakes.jwi[/B] (DrWEB: Trojan.PWS.Lich)[*] \\2008-08-01\\bcqr00009.dta - [B]Trojan-Spy.Win32.Zbot.dmz[/B] (DrWEB: Trojan.Packed.511)[*] \\2008-08-01\\bcqr00010.dta - [B]Trojan-Spy.Win32.Zbot.dmz[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]