Printable View
Доброе время суток!
Полтора месяца назад был удачно вылечен комп (с Вашей помощью, чем Вам очень сильно благодарен) от "VIRUS ALERT".
Пару дней назад начал очень сильно притормаживать комп, и в некоторых местах появлась опять надпись "VIRUS ALERT"
На этот раз никаких подозрительных файлов не открывалось (насколько это правда не знаю, т.к. этот комп у меня на обслуживании), но за несколько дней до начала "заторможения" компа был установлен GOOGLE Chrome
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('is-Q0U5Cdrv', 4);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll','');
QuarantineFile('C:\Program Files\DigitalPersona\Bin\DpOFeedb.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\09166165.sys','');
QuarantineFile('C:\WINDOWS\system32\vebimayo.dll','');
QuarantineFile('C:\WINDOWS\system32\vakumene.dll','');
QuarantineFile('C:\WINDOWS\system32\junefare.dll','');
QuarantineFile('C:\WINDOWS\system32\johabuji.dll','');
QuarantineFile('c:\windows\system32\fagopitu.dll','');
QuarantineFile('c:\documents and settings\vb\local settings\application data\google\update\googleupdate.exe','');
QuarantineFile('c:\progra~1\bhps\lic\bin\bhepcls.exe','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('c:\windows\system32\fagopitu.dll');
DeleteFile('C:\WINDOWS\system32\johabuji.dll');
DeleteFile('C:\WINDOWS\system32\junefare.dll');
DeleteFile('C:\WINDOWS\system32\vakumene.dll');
DeleteFile('C:\WINDOWS\system32\vebimayo.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\09166165.sys');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{aa8bd32d-b098-4cc4-98df-db6994beb4d3}');
DelBHO('{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}');
DeleteService('is-Q0U5Cdrv');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\vebimayo.dll c:\windows\system32\fagopitu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fagopitu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fagopitu.dll [/CODE]
Повторите логи.
Пока, сожалению, ничего не изменилось, карантин выслал
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll
O2 - BHO: (no name) - {aa8bd32d-b098-4cc4-98df-db6994beb4d3} - C:\WINDOWS\system32\junefare.dll (file missing)
O4 - HKLM\..\Run: [f4f1af4a] rundll32.exe "C:\WINDOWS\system32\yajumano.dll",b
O4 - HKLM\..\Run: [CPMf7c29cd6] Rundll32.exe "c:\windows\system32\dezubebo.dll",a
O4 - HKUS\S-1-5-19\..\Run: [gepofilolo] Rundll32.exe "C:\WINDOWS\system32\vakumene.dll",s (User 'LOCAL SERVICE')
O20 - AppInit_DLLs: c:\windows\system32\dezubebo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezubebo.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezubebo.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{aa8bd32d-b098-4cc4-98df-db6994beb4d3}');
QuarantineFile('c:\windows\system32\dezubebo.dll','');
TerminateProcessByName('c:\progra~1\common~1\target marketing agency\tmagent\tmasrv.exe');
DeleteFile('c:\progra~1\common~1\target marketing agency\tmagent\tmasrv.exe');
DeleteFile('C:\WINDOWS\system32\yajumano.dll');
DeleteFile('C:\WINDOWS\system32\junefare.dll');
DeleteFile('c:\windows\system32\dezubebo.dll');
DeleteFile('C:\WINDOWS\system32\vakumene.dll ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Попрежнему нет результата
Не было в HijackThis "O4 - HKLM\..\Run: [f4f1af4a] rundll32.exe "C:\WINDOWS\system32\yajumano.dll",b"
Карантин выслал
Сделайте полную проверку CureIT и повторите логи...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\bodozanu.dll - [B]Trojan-GameThief.Win32.OnLineGames.tuqc[/B] (DrWEB: Trojan.Virtumod.585)[*] c:\\windows\\system32\\dezubebo.dll - [B]Trojan-Clicker.Win32.Agent.fnq[/B] (DrWEB: Trojan.Virtumod.1459)[*] c:\\windows\\system32\\fagopitu.dll - [B]Trojan.Win32.Agent.aqof[/B] (DrWEB: Adware.Bho.185)[*] c:\\windows\\system32\\johabuji.dll - [B]Trojan.Win32.Agent.aqog[/B] (DrWEB: Trojan.Siggen.568)[*] c:\\windows\\system32\\junefare.dll - [B]Trojan.Win32.Agent.aqzd[/B] (DrWEB: Trojan.Virtumod.1458)[*] c:\\windows\\system32\\vakumene.dll - [B]Trojan.Win32.Agent.aqzd[/B] (DrWEB: Trojan.Virtumod.1458)[*] c:\\windows\\system32\\vebimayo.dll - [B]Trojan.Win32.Agent.aqzd[/B] (DrWEB: Trojan.Virtumod.1458)[*] c:\\windows\\system32\\yajumano.dll - [B]Trojan.Win32.Monder.aare[/B] (DrWEB: Trojan.Siggen.568)[/LIST][/LIST]