VIRUS ALERT!

Printable View

20.01.2009, 04:44
An-irk

Вложений: 2

VIRUS ALERT!

Почистил утилитами DrWeb, Касперского, согласно указаниям, также removeit_pro.exe, каждый что то нашёл. Но и после остаётся надпись в систрее VIRUS ALERT! и рабочий стол в режиме "активного рабочего стола" красного цвета со знаком и надписью - "YOUR PRIVACY IS IN DANGER!" И этот знак сдвигается курсором как шторка и в свойствах показывает spacer.gif и путь C:/Windows/privasy_danger/images/spacer.gif Папка по этому пути присутствует содержит эти рисунки в папке images и index.html
При попытке запустить проводник кнопками Win+Е появляется окошко "Ограничения" с надписью - "Операция отменена в следствие действующих для компьютера ограничений . Обратитесь к системному администратору." В "Пуск`е" отсутствуют "Все программы, Панель управления, Мой компьютер и т.д. и т.п. "
20.01.2009, 04:51
pig

Карантин (virusinfo_cure) из темы уберите, прикрепите virusinfo_syscheck.zip.
20.01.2009, 05:58
An-irk

Вложений: 1

не удаётся доработать с вложенными файлами в старом сообщении (говорит, что недостаточно прав или доступ ещё не активирован), дополняю здесь
P.S. не подключал интернет при сканировании этим скриптом в AVZ, т.к. там не фунциклирует модем... :(
20.01.2009, 08:21
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{778DC3F7-1699-4A2F-8D32-143C0D00854C}');
DelBHO('{D6258CA6-2028-4CDD-B496-CACC18721A60}');
DelBHO('{AF73D93A-28DD-4E1F-B04A-2E714BCE289A}');
DelBHO('{984C42AE-0B1D-4495-B16B-935DA5671133}');
DelBHO('{72492997-CCC3-4C07-BCB8-D2D7BFB65F7F}');
QuarantineFile('C:\WINDOWS\vrmdtneg.dll','');
QuarantineFile('C:\WINDOWS\system32\khfDvsSI.dll','');
QuarantineFile('C:\WINDOWS\system32\geBuUonl.dll','');
QuarantineFile('C:\WINDOWS\ksendlbtdpl.dll','');
DeleteFile('khfDvsSI.dll');
DeleteFile('C:\WINDOWS\ksendlbtdpl.dll');
DeleteFile('C:\WINDOWS\system32\geBuUonl.dll');
DeleteFile('C:\WINDOWS\system32\khfDvsSI.dll');
DeleteFile('C:\WINDOWS\vrmdtneg.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
20.01.2009, 09:02
An-irk

Вложений: 3

Повторяю логи... Карантин загрузил
VIRUS ALERT! висит, также как и gif-картинка...
20.01.2009, 09:06
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: khfDvsSI - C:\WINDOWS\
O21 - SSODL: SrvAlrt - {18483357-85b4-4e95-9938-8acd65a1216b} - C:\WINDOWS\Resources\SrvAlrt.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Resources\SrvAlrt.dll','');
end.[/CODE]

Загрузите карантин...
20.01.2009, 09:21
An-irk

При запуске скрипта после Выполнить - сообщение "Скрипт выполнен без ошибок", но, в окне AVZ противоположное сообщение:
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:WINDOWS\Resourses\SrvAlrt.dll)
При попытке получить карантин, аки virus.zip никакой информации нету.
20.01.2009, 09:40
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Resources\SrvAlrt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункт 2 диагностики...
20.01.2009, 09:59
An-irk

Вложений: 1

скрипт выполнен, 2 пункт диагности во вложенном файле.
20.01.2009, 10:13
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\LogicFunctions\LogicFunctions.dll','');
DeleteFile('C:\Program Files\LogicFunctions\LogicFunctions.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин и повторите пункт 2 диагностики...
20.01.2009, 10:27
An-irk

Вложений: 1

Скрипт выполнил, промелькнула какая то ошибка, окно выполнения скрипта загораживала для просмотра... :(
После перезагруза gif заставка осталась а также и VIRUS ALERT!
20.01.2009, 10:39
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]

Сообщите результат...
20.01.2009, 10:56
An-irk

Вложений: 1

исчезла gif заставка!!! и VIRUS ALERT! Но, извиняюсь за самодеятельность, я ожидая ответа, нажал на эту заставку и она началА ломится в инет по адресу что то там antivirus2009 и я вспомнил, что ранее отключал эти пункты в автозагрузке в msconfig. Естественно, вернул их обратно и потом уже выполнил скрипт ваш и скрипт выполнения сбора информации.
20.01.2009, 11:01
Гриша

Не нужно было ничего отключать!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{18CB1A7B-94CD-4582-8022-ADA16851E44B}');
QuarantineFile('C:\WINDOWS\system32\yfvvhnnx.dll','');
QuarantineFile('C:\Program Files\antiviirus.exe','');
QuarantineFile('C:\Program Files\Antivirus 2009\av2009.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe');
DeleteFile('C:\Program Files\Antivirus 2009\av2009.exe');
DeleteFile('C:\Program Files\antiviirus.exe');
DeleteFile('C:\WINDOWS\system32\yfvvhnnx.dll');
DeleteFile('C:\Program Files\LogicFunctions\LogicFunctions.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
20.01.2009, 11:37
An-irk

Вложений: 3

повторяю логи... Не могу отправить "карантин"
20.01.2009, 11:39
Гриша

В логах чисто, жалобы есть?
20.01.2009, 11:50
An-irk

Жалоб нет, спасибо за работу!
22.02.2009, 10:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]