подцепил вирус

Printable View

03.09.2009, 10:20
stinger25

Вложений: 3

подцепил вирус

Добрый день. Помогите пожалуйста убить заразу.
Имеются следующие симптомы:
- антивирус (Dr.Web) периодически показывает окно что удалил вирус
- при веб серфинге при щелчке на ссылке примерно в 10% случаев открывается google.com вместо требуемой страницы
- vkontakte.ru требует активации через смс....
03.09.2009, 10:39
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\701.exe','');
QuarantineFile('.vbe','');
DeleteFile('.vbe');
DeleteFile('C:\WINDOWS\system32\701.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\sysenv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи.
Прислать карантин после перезагрузки.
03.09.2009, 12:45
stinger25

Вложений: 4

скрипт выполнил. теперь после перезагрузки появляется вот такое окно (вложение).
после выполнения скрипты (перед перезагрузкой) на пол секунды появилось подобное окно, но название файла прочитать не успел.
03.09.2009, 12:55
PavelA

Надо будет из карантина C:\WINDOWS\system32\sysenv.dll восстановить.
Зря, я его грохнул.
Выполнить:
[Code]
begin
ExecuteRepair(13);
RebootWindows(true);
end.
[/Code]
03.09.2009, 16:42
stinger25

скрипт выполнил... окно что сверху появилось опять. логи еще раз делать?
03.09.2009, 16:47
PavelA

нет логи делать не надо.

вот эту программу надо или переустановить, или деинсталлировать - edatasecurity
Она в комплекте с компьютером шла.
03.09.2009, 23:10
stinger25

c этой программной ничего страшного... переустановлю...
забыл прикрепить карантин. прикрепляю сейчас
Результат загрузкиФайл сохранён как 090903_231014_virus_4aa01496ace91.zip
Размер файла 155999
MD5 3e64b2e78e88d4ac6f0f14919730dca7

Файл закачан, спасибо!
05.09.2009, 15:29
stinger25

вроде больше антивирус не ругается. скажите пожалуйста, по логам еще надо что-то делать?
05.09.2009, 15:44
PavelA

Карантин посмотрю в понедельник.
08.09.2009, 10:35
stinger25

еще один симптом выплыл...
в качестве браузера использую оперу, но иногда запускаю IE, а тут он перестал запускаться
08.09.2009, 11:04
PavelA

sdra64.exe - Trojan-Spy.Win32.Zbot.aaew

А что-то ИЕ пишет?
08.09.2009, 11:28
stinger25

нет, просто не реагрует на запуск... никаких ошибок, ничего не выводит.
08.09.2009, 11:31
PavelA

лог при помощи МВАМ сделайте. Ничего лечить им не надо.
08.09.2009, 16:28
stinger25

не подскажите, что такое МВАМ?
08.09.2009, 19:44
pig

[url]http://virusinfo.info/showthread.php?t=53070[/url]
08.09.2009, 21:56
stinger25

Вложений: 1

прикладываю отчет MBAM
09.09.2009, 09:34
PavelA

C:\WINDOWS\system32\~.exe
C:\Program Files\Internet Explorer\rasadhlp.dll - пришлите через карантин AVZ.
09.09.2009, 11:08
anton_dr

И сделайте повторные логи АВЗ, обновив предварительно его базы.
10.09.2009, 11:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aaew[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]