борьба с антивирусом 2009

Printable View

11.12.2008, 20:43
Sharku

борьба с антивирусом 2009

Борюсь уже вторую неделю с Антивирусом 2009:
Время от времени выскакивает окошко с предложением его установить и окошко браузера с соответствующим сайтом. Прошу помочь справиться с этой заразой.
11.12.2008, 23:02
V_Bond

отключите восстановление системы !
все операции выполнять в [B]нормальном[/B] режиме ...
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{31435782-F296-429A-80AB-8074EDC5AED0}');
QuarantineFile('C:\WINDOWS\system32\khhnplls.dll','');
DeleteService('vpmntrrw');
QuarantineFile('C:\WINDOWS\system32\drivers\vpmntrrw.sys','');
QuarantineFile('C:\WINDOWS\system32\ddcCRJyA.dll','');
DeleteFile('C:\WINDOWS\system32\ddcCRJyA.dll');
DeleteFile('C:\WINDOWS\system32\drivers\vpmntrrw.sys');
DeleteFile('C:\WINDOWS\system32\khhnplls.dll');
DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temporary Internet Files\Content.IE5\9W4JX5O9\A9installer_770522169204[1].exe');
DeleteFileMask('C:\Documents and Settings\Владелец\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
12.12.2008, 00:36
Sharku

Файл сохранён как 081211_153532_virus_494187a47eadc.zip
Размер файла 370937
MD5 d6fb1c19636e7e8ab6b38ec1644737b3
Логи приложены
12.12.2008, 09:12
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{8EA07E1D-EFAF-49DA-A3BD-9178D8EE06DA}');
DeleteFile('C:\WINDOWS\system32\ddcCRJyA.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
12.12.2008, 21:43
Sharku

Сделал. Вот логи
12.12.2008, 21:49
V_Bond

выполните скрипт
[code]
begin
QuarantineFile('C:\Documents and Settings\Владелец\Local Settings\Temp\flaB6.tmp','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
13.12.2008, 00:26
Sharku

[QUOTE]Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Владелец\Local Settings\Temp\flaB6.tmp)
Карантин с использованием прямого чтения - ошибка
[/QUOTE]
Не получается :(
13.12.2008, 19:08
V_Bond

flaB6.tmp - поищите согласно приложения 2 правил ...
14.12.2008, 19:19
Sharku

Руками тоже не удается. Такое же сообщение.
16.12.2008, 00:27
Sharku

Похоже тема затерялась :(
Помогите добить вируса
16.12.2008, 09:15
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\flaB6.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
17.12.2008, 00:52
Sharku

вот логи
17.12.2008, 12:31
PavelA

ddcCRJyA.dll - Backdoor.Win32.Agent.umd,
khhnplls.dll - Trojan-Dropper.Win32.Agent.abjb

То, что у Вас было.

Hosts файл сами таким большим сделали? он может тормозить работу Инета.
17.12.2008, 22:59
Sharku

[quote=PavelA;323119]
Hosts файл сами таким большим сделали? он может тормозить работу Инета.[/quote]
Нет конечно. Комп не мой, а юзеры и не знают что такой файл существует :rolleyes:

Спасибо за помощь!
22.02.2009, 09:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ddccrjya.dll - [B]Backdoor.Win32.Agent.umd[/B] (DrWEB: Trojan.Fakealert.1500)[*] c:\\windows\\system32\\khhnplls.dll - [B]Trojan-Dropper.Win32.Agent.abjb[/B] (DrWEB: Trojan.Virtumod.854)[/LIST][/LIST]