Лечение Trojan.Win32.Vaklik

Printable View

10.10.2009, 00:17
lubagira

Лечение Trojan.Win32.Vaklik

Здравствуйте, помогите справиться с Trojan.Win32.Vaklik.
Логи прилагаю.
10.10.2009, 00:21
lubagira

Логи
10.10.2009, 01:00
thyrex

Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\logout32.exe','');
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('K:\autorun.inf');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Выполнить скрипт
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code]

Пришлите [B]c:\quarantine.zip[/B] по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи с помощью AVZ и HiJack
10.10.2009, 11:25
lubagira

Вложений: 1

Спасибо за отзывчивость
10.10.2009, 11:36
Гриша

Выполните скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DeleteFile('C:\WINDOWS\logout32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите лог...
10.10.2009, 13:00
lubagira

Повторяю
10.10.2009, 13:02
lubagira

Вложений: 1

..
10.10.2009, 13:13
snifer67

Логи чисты.
10.10.2009, 13:14
Гриша

Чисто...
10.10.2009, 17:37
lubagira

Вложений: 1

Спасибо огромное!!:clapping:
Пересела на соседнюю машину. И вот что обнаружила..
Хэлп
11.10.2009, 00:42
thyrex

Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\i\H001.exe','');
DeleteService('National Instruments Domain ServNationalvin');
QuarantineFile('C:\WINDOWS\system32\mywcc090908.dll','');
QuarantineFile('C:\WINDOWS\system32\dllcc32a.dll','');
DeleteFile('C:\WINDOWS\system32\i\H001.exe');
DeleteFile('C:\WINDOWS\system32\mywcc090908.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Выполнить скрипт в AVZ.
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code]Пришлите [B]c:\quarantine.zip[/B] по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи [B]с помощью AVZ и HiJack[/B]
12.10.2009, 11:34
lubagira

Карантин закачала и вот логи. Спасибо!!
12.10.2009, 15:17
PavelA

[QUOTE=lubagira;483684]Спасибо огромное!!:clapping:
Пересела на соседнюю машину. И вот что обнаружила..
Хэлп[/QUOTE]

что за безобразие? Два компьютера в одной теме, непорядок.
12.10.2009, 17:24
lubagira

[QUOTE=PavelA;484705]что за безобразие? Два компьютера в одной теме, непорядок.[/QUOTE]
Я первый раз, простите невнимательную..и помогите..
13.10.2009, 11:12
Белый Сокол

Выполните:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
end.[/CODE]
Карантин пришлите.
13.10.2009, 17:38
lubagira

[QUOTE=Белый Сокол;485186]Выполните:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
end.[/CODE]
Карантин пришлите.[/QUOTE]
Так как ругается красная ссылка сверху на то, файл был ранее загружен, выкладываю карантин здесь в сообщении. Спасибо)
16.10.2009, 19:06
Белый Сокол

Файл чистый.
17.10.2009, 19:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\logout32.exe - [B]Backdoor.Win32.Bifrose.bnxe[/B] ( DrWEB: Trojan.Inject.5745, BitDefender: Trojan.Dropper.SSK, NOD32: Win32/AutoRun.Agent.CX worm, AVAST4: Win32:Bifrose-ECX [Trj] )[*] c:\windows\system32\amvo0.dll - [B]Worm.Win32.AutoRun.aye[/B] ( DrWEB: Trojan.PWS.Wsgame.2387, BitDefender: Trojan.Generic.2315086, NOD32: Win32/PSW.OnLineGames.KDP trojan, AVAST4: Win32:AutoRun-UC [Wrm] )[*] c:\windows\system32\dllcc32a.dll - [B]Backdoor.Win32.Agent.altb[/B] ( DrWEB: BackDoor.Siggen.977, BitDefender: Gen:Trojan.Heur.GM.5404800000, NOD32: Win32/Spy.Delf.NUD trojan, AVAST4: Win32:Dogrobot [Drp] )[*] c:\windows\system32\mywcc090908.dll - [B]Backdoor.Win32.Agent.altg[/B] ( DrWEB: BackDoor.Siggen.978, BitDefender: Gen:Trojan.Heur.PT.bi4@beU@HZf, NOD32: Win32/Spy.Delf.NHV trojan, AVAST4: Win32:Dogrobot [Drp] )[/LIST][/LIST]