У меня в системе завелся надоедливый ErrorSafe плюс имеется подозрение на 4 трояна. В работе компьютера последние себя не проявляют. Собственно логи прилагаются, а там все видно.
Printable View
У меня в системе завелся надоедливый ErrorSafe плюс имеется подозрение на 4 трояна. В работе компьютера последние себя не проявляют. Собственно логи прилагаются, а там все видно.
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\wvwxv.dll','');
QuarantineFile('D:\WINDOWS\system32\xxywvvv.dll','');
QuarantineFile('D:\WINDOWS\system32\vximodhc.dll','');
QuarantineFile('D:\WINDOWS\system32\ibxcgwbt.dll','');
QuarantineFile('D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll','');
QuarantineFile('D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll','');
QuarantineFile('D:\Program Files\P-CAD 2002\Utils\Drilltab.exe','');
QuarantineFile('D:\WINDOWS\system32\ejioumhq.dll','');
QuarantineFile('D:\WINDOWS\system32\ytcgpwgs.dll','');
RebootWindows(false);
end.
[/code]
Прислать карантин согласно [b]приложения 3 правил [/b]
Файлы высланы.
[QUOTE=Elephanten;98090]Файлы высланы.[/QUOTE]
Для тех кто ещё не качал 12 метров сообщаю... по DrWeb - Trojan.Virtumod (все)
D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll
D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll
D:\WINDOWS\system32\ejioumhq.dll
D:\WINDOWS\system32\ytcgpwgs.dll
D:\WINDOWS\system32\xxywvvv.dll
D:\WINDOWS\system32\wvwxv.dll
D:\WINDOWS\system32\vximodhc.dll
D:\WINDOWS\system32\ibxcgwbt.dll
AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\wvwxv.dll');
DeleteFile('D:\WINDOWS\system32\xxywvvv.dll');
DeleteFile('D:\WINDOWS\system32\vximodhc.dll');
DeleteFile('D:\WINDOWS\system32\ibxcgwbt.dll');
DeleteFile('D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll');
DeleteFile('D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll');
DeleteFile('D:\WINDOWS\system32\ejioumhq.dll');
DeleteFile('D:\WINDOWS\system32\ytcgpwgs.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Сделать новые логи.
Собственно по моим представлениям - не помогло. Новые логи прилагаются.
Попробуем еще раз.
Выполните скрипт в AVZ через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\wvwxv.dll');
DeleteFile('D:\WINDOWS\system32\xxywvvv.dll');
DeleteFile('D:\WINDOWS\system32\vximodhc.dll');
DeleteFile('D:\WINDOWS\system32\ibxcgwbt.dll');
DeleteFile('D:\WINDOWS\system32\ytcgpwgs.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Сделайте новые логи. Вместе с ними приложите к теме файл boot_clr.log из папки AVZ.
PS. Судя по логу HijackThis у вас установлен DrWeb. Он этого трояна должен знать (если базы свежие).
Спасибо за совет. За вчерашний вечер удалось обхитрить его таким образом: у меня установлен system commander - менеджер загрузки. Во время одной из попыток загрузиться с диска он указал на то, что изменился размер свободной оперативки и какие-то адреса, предложил восстановить исходные. Я согласился, после чего в безопасном режиме родных виндов, покилял вредоносные файлы при помощи скрипта (см. выше). Однако первый файл убил руками, он даже не сопротивлялся. После этого еще несколько раз проверился АВЗ и добил оставшиеся подозрительные файлы. Теперь вроде все нормуль!
Еще раз спасибо за помощь.
D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll - AdWare.Win32.BHO.cc (KAV)
Удалите его через отложенное удаление в AVZ.
Указанный файл прихлопнул на лету без отложенного удаления, в тот раз, в который и остальные файлы. Вроде все наладилось...
Правда есть вопросик: VSAdd-In for Internet Explorer - он кто и как его прихлопнуть (у меня он неубивается штатными средствами) если понадобится??
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\игорь\\local settings\\temp\\plhprkgk.dll - [B]Trojan-Spy.Win32.VBStat.h[/B] (DrWEB: Trojan.Virtumod)[*] d:\\documents and settings\\марина\\local settings\\temp\\ynvptlpq.dll - [B]Trojan-Spy.Win32.VBStat.h[/B] (DrWEB: Trojan.Virtumod)[*] d:\\windows\\system32\\ejioumhq.dll - [B]Trojan-Spy.Win32.VBStat.h[/B] (DrWEB: Trojan.Virtumod)[*] d:\\windows\\system32\\ibxcgwbt.dll - [B]Trojan.Win32.BHO.g[/B] (DrWEB: Trojan.Juan)[*] d:\\windows\\system32\\vximodhc.dll - [B]Trojan.Win32.BHO.g[/B] (DrWEB: Trojan.Virtumod)[*] d:\\windows\\system32\\wvwxv.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.he[/B] (DrWEB: Trojan.Virtumod)[*] d:\\windows\\system32\\xxywvvv.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ha[/B] (DrWEB: Trojan.Virtumod)[*] d:\\windows\\system32\\ytcgpwgs.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.gf[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]