Viruswebprotect2008

Printable View

03.08.2008, 21:27
Vladimir2008

Вложений: 3

Viruswebprotect2008

Sorry za translit - net russkih bukv na klaviature (ya za granizei).
Problema takaya zhe kak na [URL]http://virusinfo.info/showthread.php?t=23058[/URL]
krome togo:
- nadpis 'VIRUS ALERT!' okolo chasov v tree
- zamena temy na rabochem stole na krasnyu kartinku
- blokiruet raboty v Internete

Proshu vashei pomoshi.
Spasibo!
03.08.2008, 21:47
Гриша

Отключите антивирус,восстановление системы и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: QXK Olive - {51DC7A06-2251-4795-A863-421782966EC9} - C:\WINDOWS\nfavxwdbvdf.dll
O2 - BHO: (no name) - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - (no file)
O4 - HKLM\..\Run: [6ca84b89] rundll32.exe "C:\WINDOWS\system32\vofwrhqk.dll",b
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk04.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\zfutmu.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\vofwrhqk.dll','');
QuarantineFile('C:\WINDOWS\system32\tzbjfj.dll','');
QuarantineFile('C:\WINDOWS\nfavxwdbvdf.dll','');
QuarantineFile('c:\windows\system32\lanmanwrk.exe','');
TerminateProcessByName('c:\windows\system32\lanmanwrk.exe');
SetServiceStart('lanmandrv', 4);
StopService('lanmandrv');
DeleteService('Winvb15');
DeleteService('Winns40');
DeleteService('Winjo16');
DeleteService('Winhl04');
DeleteService('Winfk04');
DeleteService('lanmandrv');
DeleteFile('c:\windows\system32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\nfavxwdbvdf.dll');
DeleteFile('C:\WINDOWS\system32\tzbjfj.dll');
DeleteFile('C:\WINDOWS\system32\vofwrhqk.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\zfutmu.dll');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb15.sys');
DeleteFile('C:\WINDOWS\system32\zfutmu.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\eqvwamkl.dll');
DelBHO('{d79ed4da-d9c2-49e5-ba8f-93951ec02a17}');
DelBHO('{5AA2BA46-9913-4dc7-9620-69AB0FA17AE7}');
DelBHO('{51DC7A06-2251-4795-A863-421782966EC9}');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('lanmandrv');
BC_DeleteSvc('Winvb15');
BC_DeleteSvc('Winns40');
BC_DeleteSvc('Winjo16');
BC_DeleteSvc('Winhl04');
BC_DeleteSvc('Winfk04');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=27445[/url]

Повторите логи...
03.08.2008, 22:43
Vladimir2008

karantin vyslal

pozhalyista utochnite chto znachit {Povtorite logi...} - eto punkty 8-13 pravil ?
03.08.2008, 22:45
V_Bond

[QUOTE=Vladimir2008;262819]
pozhalyista utochnite chto znachit {Povtorite logi...} - eto punkty 8-13 pravil ?[/QUOTE]
да , заново выполнить правила начиная с пункта 8 ...
03.08.2008, 23:30
Vladimir2008

Вложений: 3

novye logi
03.08.2008, 23:34
Гриша

Уже хорошо :)

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('zfutmu.dll','');
DeleteService('Winsw26');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsw26.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winsw26');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин...
03.08.2008, 23:50
Vladimir2008

karantin vyslal
03.08.2008, 23:53
Гриша

Попробуйте поискать этот файлик zfutmu.dll согласно приложению 2 правил...
04.08.2008, 00:00
Vladimir2008

vyslal karantin
080803_145957_virus_48960e3d3fc96.zip
04.08.2008, 00:11
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('zfutmu.dll');
SysCleanAddFile('zfutmu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил...
04.08.2008, 00:20
Vladimir2008

Вложений: 1

logi po punktu 10
04.08.2008, 00:35
Vladimir2008

teper vse v poryadke krome sledyushego:
- nadpis 'VIRUS ALERT!' okolo chasov v tree
- zastavka na destope, kotoraya ne ubiraetsya (ee mozhno tolko sdvinyt' vpravo, no polosa vse ravno ostaetsya)
04.08.2008, 00:41
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('searchprotocolhost.exe','');
QuarantineFile('%system32%\searchprotocolhost.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин.
04.08.2008, 01:16
Vladimir2008

nadpis 'VIRUS ALERT!' okolo chasov v tree ISCHEZLA !!!
zastavka na destope - TOZHE !!!

karantin vyslal
080803_154956_virus_489619f50009f.zip

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

Posle perezagruzki vse OK!
Bolshoe vam spasibo!
Po vozvrashenii domoi v Rossiu "Obyazatalno sdelau Dobroe delo"
Udachi!
22.02.2009, 06:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\eqvwamkl.dll - [B]Trojan.Win32.Vapsup.jre[/B] (DrWEB: Trojan.Popuper.7324)[*] c:\\windows\\nfavxwdbvdf.dll - [B]Trojan.Win32.Vapsup.kkh[/B] (DrWEB: Trojan.Popuper.7329)[*] c:\\windows\\system32\\tzbjfj.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.cca[/B] (DrWEB: Trojan.Virtumod.based.18)[*] c:\\windows\\system32\\vofwrhqk.dll - [B]Trojan.Win32.Monder.cet[/B] (DrWEB: Trojan.Virtumod.458)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.atp[/B] (DrWEB: BackDoor.Bulknet.225)[*] c:\\windows\\system32\\zfutmu.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.cas[/B] (DrWEB: Trojan.Virtumod.based.18)[/LIST][/LIST]