NOD обнаружил вирус

Printable View

09.11.2009, 21:46
РоманChampion

NOD обнаружил вирус

Проверьте логи пожалуйста - NOD нашёл вирус. Заранее спасибо.
09.11.2009, 22:16
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\loio.jho','');
DeleteFile('C:\WINDOWS\system32\loio.jho');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis
[code]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe loio.jho soalsv
O4 - HKLM\..\Run: [GEST] =[/code]
Закачайте карантин по красной ссылке вверху. Повторите логи
09.11.2009, 22:38
РоманChampion

карантин прислал! Что значит пофиксить Hijackthis??? Где этот код выполнить? И ещё вопрос - когда просят повторить логи надо заного делать стандартные скрипты : "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" и "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" или просто файлы выслать какие есть?
09.11.2009, 22:39
РоманChampion

Я выполнил скрипты вот файлы
09.11.2009, 23:01
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF8B11.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF8B11.tmp');
QuarantineFile('=.exe','');
QuarantineFile('gpprefcl.dll','');
DeleteFile('=.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин закачайте, логи повторите

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE='РоманChampion;505068']Что значит пофиксить Hijackthis??? Где этот код выполнить?[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=4491[/url] - на будущее :)
И bonjour удалите [url]http://virusinfo.info/showthread.php?t=27923[/url]
09.11.2009, 23:53
РоманChampion

1.Карантин закачал. 2.bonjour вроде удалил. 3. Пофиксил Hijackthis - но там строчки небыло этой: F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe loio.jho soalsv, была только: O4 - HKLM\..\Run: [GEST] = 4. логи щас вышлю, - я так понял надо выполнять стандартные скрипты заного? перед тем как логи выкладывать?
10.11.2009, 00:00
РоманChampion

Вот логи: я правильно делаю что выполняю стандартные скрипты перед отправкой?
10.11.2009, 11:55
vegas

Да, вы все правильно делаете.
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь [url]http://virusinfo.info/upload_clean.php[/url]
Обратите внимание на отчёт после завершания закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
11.11.2009, 00:40
РоманChampion

всё сделал., файл закачал. вот отчёт после закачки:

Результат загрузки
Файл сохранён как 091111_003800_virusinfo_files_CHAMPION_4af9dd38c1d48.zip
Размер файла 25093270
MD5 26a2d0858758dd9f770028199da34746

Файл закачан, спасибо!
11.11.2009, 10:39
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- Повторите в точности действия, описанные в пп.2 и 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
12.11.2009, 00:03
РоманChampion

пофиксил код, выполнил скрипт.
первый пункт не надо делать? Вобщем выполнил только 2 и 3 пункты правил Диагностика. Вот логи:
12.11.2009, 00:15
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]

- Повторите в точности действия, описанные в п. 3 раздела правил Диагностика, новый лог прикрепите к новому сообщению.
12.11.2009, 19:35
РоманChampion

сделал. Вот лог:
12.11.2009, 19:45
Rene-gad

- В логах ничего подозрительного. Жалобы есть?
12.11.2009, 19:49
РоманChampion

Пока нету вроде всё нормально, если что ещё обращусь. Спасибо БОЛЬШОЕ!!!
13.11.2009, 19:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\loio.jho - [B]Trojan.Win32.Agent.dbtk[/B] ( DrWEB: Trojan.Siggen.19871, BitDefender: Trojan.Generic.2768449, AVAST4: Win32:Oficla-D [Trj] )[/LIST][/LIST]