Your computer is infected

Printable View

14.09.2009, 22:30
yojik

Вложений: 3

Your computer is infected

Здравствуйте!
Появляется pop-up в трее с надписью "Your computer is infected"
Периодически на экране появляется процесс установки PC_Antispyware2010.
14.09.2009, 22:36
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvemu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\sys32_nov.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
14.09.2009, 23:17
yojik

Вложений: 3

Пока все так же
14.09.2009, 23:41
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\advantage\AdVantage.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ikowin32.exe','');
DeleteService('nvemu');
DeleteService('soemu');
QuarantineFile('C:\WINDOWS\System32\Drivers\soemu.SYS','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\Documents and Settings\Administrator\sys32_nov.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\soemu.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\nvemu.sys');
DeleteFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ikowin32.exe');
DeleteFile('C:\WINDOWS\system32\sys32_nov.exe');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\advantage\AdVantage.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пофиксите
[code]
O20 - AppInit_DLLs: cru629.dat
[/code]
C:\WINDOWS\system32\Drivers\agp440.sys - замените на чистый из дистрибутива
пришлите карантин согласно приложения 3 правил
повторите логи
15.09.2009, 04:51
yojik

Вложений: 3

Все так же пока.
15.09.2009, 20:11
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\braviax.exe');
QuarantineFile('c:\windows\braviax.exe','');
DeleteFile('c:\windows\braviax.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[COLOR="Red"][B]C:\WINDOWS\System32\Drivers\Beep.SYS[/B][/COLOR] замените на чистый по [URL="http://virusinfo.info/showthread.php?t=51654"]этой методике[/URL]

Сделайте новые логи
15.09.2009, 22:00
yojik

Вложений: 3

Все так же
16.09.2009, 22:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\administrator\start menu\programs\startup\ikowin32.exe - [B]Trojan-Spy.Win32.Zbot.aaul[/B] ( DrWEB: Trojan.Botnetlog.11, NOD32: Win32/TrojanDownloader.Bredolab.AR trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\braviax.exe - [B]Trojan-Downloader.Win32.FraudLoad.wraj[/B] ( DrWEB: Trojan.Fakealert.5013, BitDefender: Trojan.Generic.2416549, NOD32: Win32/TrojanDownloader.FakeAlert.GU trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\braviax.exe - [B]Trojan-Downloader.Win32.FraudLoad.wraj[/B] ( DrWEB: Trojan.Fakealert.5013, BitDefender: Trojan.Generic.2416549, NOD32: Win32/TrojanDownloader.FakeAlert.GU trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\agp440.sys - [B]Virus.Win32.Protector.c[/B] ( DrWEB: BackDoor.Siggen.784, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] )[*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.UltimateDefender.igv[/B] ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.0EDB1150, AVAST4: Win32:FakeAV-NO [Rtk] )[*] c:\windows\system32\sys32_nov.exe - [B]Trojan-Downloader.Win32.Agent.cpqa[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2458607, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]