virus alert в трее

Printable View

18.10.2008, 17:07
smalloak

Вложений: 3

virus alert в трее

Здравствуйте, у меня проблема. Проверил систему с помощью CureIt удалил два вируса, в ходе проверки начали появляться окна с предупреждениями вроде "malware detected", окна IE, хотя я использую Оперу. После перезагрузки в трее появилась надпись VIRUS ALERT, на рабочем столе огромное окно с теми же предупреждениями.
Прошу помощи.
18.10.2008, 17:12
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rgdam.exe','');
QuarantineFile('c:\windows\qrbgltos.dll','');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{7B8A8BB4-C251-4A54-AE92-0A3051890028}');
QuarantineFile('C:\WINDOWS\rosqxvmn.dll','');
DelBHO('{343C2D3D-295E-4256-A18F-C0204F026CE5}');
DelBHO('{2344E3CB-61A6-49EA-B7AF-83C0CCCBE501}');
DelBHO('{159229C1-C44F-42D8-AEC6-09FBFB6375FC}');
QuarantineFile('C:\WINDOWS\system32\yayyyvvv.dll','');
QuarantineFile('C:\WINDOWS\system32\tuvSiGAP.dll','');
QuarantineFile('C:\WINDOWS\qrbgltos.dll','');
QuarantineFile('C:\WINDOWS\ngwstxfd.dll','');
DeleteFile('C:\WINDOWS\ngwstxfd.dll');
DeleteFile('C:\WINDOWS\qrbgltos.dll');
DeleteFile('C:\WINDOWS\system32\tuvSiGAP.dll');
DeleteFile('C:\WINDOWS\system32\yayyyvvv.dll');
DeleteFile('yayyyvvv.dll');
DeleteFile('C:\WINDOWS\grfxbanofek.dll');
DeleteFile('C:\WINDOWS\rosqxvmn.dll');
DeleteFile('c:\windows\qrbgltos.dll');
DeleteFile('C:\WINDOWS\system32\rgdam.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
ExecuteRepair(11 );
ExecuteRepair(17 );
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
18.10.2008, 19:13
smalloak

Вложений: 3

с рабочего стола всё исчезло, из трея тоже. вот новые логи.
карантин отправил с помощью формы наверху.
18.10.2008, 19:18
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
O2 - BHO: (no name) - {0DF03382-9227-42CC-BFF9-3F2F49EF3A56} - C:\WINDOWS\system32\tuvSiGAP.dll (file missing)
O2 - BHO: (no name) - {159229C1-C44F-42D8-AEC6-09FBFB6375FC} - C:\WINDOWS\system32\yayyyvvv.dll (file missing)
O20 - Winlogon Notify: yayyyvvv - C:\WINDOWS\
O21 - SSODL: qrbgltos - {D26EDB0D-B422-493D-A65F-39E29CF14354} - (no file)[/CODE]

Это ваши DNS?

[CODE]85.255.116.89,85.255.112.165[/CODE]

Если нет, то пофиксить:

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{0191A802-C90D-46FE-BECC-23D180BA7E85}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5DA731-25D0-4C6B-914A-380E4731B454}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{527D0E7C-B7CB-491E-8688-E336A2552B2A}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6C03CD2-91FF-495C-96B3-9FD58FB22DE6}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{C26FBF24-F5C3-4296-B7CA-A51E1A411C5D}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.89 85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\..\{0191A802-C90D-46FE-BECC-23D180BA7E85}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.89 85.255.112.165
O17 - HKLM\System\CS2\Services\Tcpip\..\{0191A802-C90D-46FE-BECC-23D180BA7E85}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.89 85.255.112.165
O17 - HKLM\System\CS3\Services\Tcpip\..\{0191A802-C90D-46FE-BECC-23D180BA7E85}: NameServer = 85.255.116.89,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.89 85.255.112.165[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Рафаэльевна\Local Settings\Temporary Internet Files\Content.IE5\GDYNG963\MediaXCodec[1].exe','');
QuarantineFile('C:\Documents and Settings\Рафаэльевна\Application Data\Adobe\Player.exe','');
DeleteFile('C:\Documents and Settings\Рафаэльевна\Application Data\Adobe\Player.exe');
DeleteFile('C:\Documents and Settings\Рафаэльевна\Local Settings\Temporary Internet Files\Content.IE5\GDYNG963\MediaXCodec[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
22.02.2009, 08:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\рафаэльевна\\application data\\adobe\\player.exe - [B]Trojan-Downloader.Win32.Delf.pga[/B] (DrWEB: Trojan.DownLoad.7637)[*] c:\\documents and settings\\рафаэльевна\\local settings\\temporary internet files\\content.ie5\\gdyng963\\mediaxcodec[1].exe - [B]Trojan-Downloader.Win32.Delf.pga[/B] (DrWEB: Trojan.DownLoad.7637)[*] c:\\windows\\ngwstxfd.dll - [B]Trojan.Win32.Vapsup.mmr[/B] (DrWEB: Trojan.Popuper.8424)[*] c:\\windows\\qrbgltos.dll - [B]Trojan.Win32.Vapsup.mms[/B] (DrWEB: Trojan.Popuper.8425)[*] c:\\windows\\rosqxvmn.dll - [B]Trojan.Win32.Vapsup.mmt[/B] (DrWEB: Trojan.Popuper.8426)[*] c:\\windows\\system32\\rgdam.exe - [B]Trojan-Downloader.Win32.Delf.pga[/B] (DrWEB: Trojan.DownLoad.7637)[*] c:\\windows\\system32\\tuvsigap.dll - [B]Trojan.Win32.Monder.vck[/B] (DrWEB: Trojan.Fakealert.1500)[*] c:\\windows\\system32\\yayyyvvv.dll - [B]Trojan.Win32.Agent.alnu[/B] (DrWEB: Trojan.Virtumod.448)[/LIST][/LIST]