Постоянно выскакивает сообщение, что система обнаружила спайвер, комп с трудом едет, антивирусы ничего не находят.
Printable View
Постоянно выскакивает сообщение, что система обнаружила спайвер, комп с трудом едет, антивирусы ничего не находят.
[B][COLOR="SeaGreen"]Ну вот, можно выполнять. Надеюсь ничего не пропустил из-за такой коллекции :)[/COLOR][/B]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zqeo.dll','');
QuarantineFile('C:\WINDOWS\system32\tlgwsvx.dll','');
QuarantineFile('C:\WINDOWS\system32\ugliwbil.dll','');
QuarantineFile('C:\WINDOWS\system32\oqrdiapx.dll','');
QuarantineFile('C:\WINDOWS\system32\efeqizb.dll','');
QuarantineFile('C:\WINDOWS\system32\yvpuyu.dll','');
QuarantineFile('C:\WINDOWS\system32\kwvexo.dll','');
QuarantineFile('C:\WINDOWS\system32\lctskwkg.dll','');
QuarantineFile('C:\WINDOWS\system32\webr.dll','');
QuarantineFile('winhdn32.dll','');
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\winhdn32.dll','');
QuarantineFile('C:\WINDOWS\system32\appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\omxwoyca.dll','');
QuarantineFile('C:\WINDOWS\addins\loesvs.dll','');
QuarantineFile('C:\WINDOWS\system32\jcpltnn.dll','');
QuarantineFile('C:\WINDOWS\system32\geplxss.dll','');
QuarantineFile('C:\WINDOWS\system32\efeqizb.dll','');
QuarantineFile('C:\Program Files\SpyDawn\SpyDawn.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\igfxsrvc.dll','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8342_quarantine.zip');
RebootWindows(true);
end.
[/code]
Загрузите файл virusinfo_8342_quarantine.zip из каталога AVZ через форму [url]http://virusinfo.info/upload_virus.php[/url], указав ссылку на тему [url]http://virusinfo.info/showthread.php?t=8342[/url]
Файл закачан, спасибо!
присланное - (по KAV)
C:\WINDOWS\system32\efeqizb.dll - Trojan.Win32.Obfuscated.ev
C:\WINDOWS\system32\webr.dll - AdWare.Win32.PurityScan.ak
C:\WINDOWS\system32\jcpltnn.dll - Trojan.Win32.Obfuscated.ev
C:\WINDOWS\system32\geplxss.dll - инфицирован Trojan.Win32.Dialer.cs
В архиве было только 6 файлов .от 1 до 5 нужно удалить , а под номером 6 оставить пока( это от интела примочка )
потенциально опасное ПО not-a-virus:FraudTool.Win32.SpyHeal.a Файл: avz00005.dta
троянская программа Trojan.Win32.Obfuscated.ev Файл:avz00001.dta
троянская программа Trojan.Win32.Dialer.cs Файл: avz00004.dta//PE_Patch.UPX//UPX
троянская программа Trojan.Win32.Obfuscated.ev Файл:avz00003.dta
программа-реклама not-a-virus:AdWare.Win32.PurityScan.ak Файл: avz00002.dta//PE_Patch.PECompact//PecBundle//PECompact
ребят, удалил с 1ого по 5ый, что дальше?
Почистить временные папки :
C:\Documents and Settings\Anton\Local Settings\Temp\
C:\Documents and Settings\Anton\Local Settings\Temp\Temporary Internet Files\Content.IE5\
Перегрузиться, сделать новые логи. Посмотрим, что осталось.
новые логи
Ничего вы не удалили. :(
Выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\efeqizb.dll');
DeleteFile('C:\WINDOWS\system32\webr.dll');
DeleteFile('C:\WINDOWS\system32\jcpltnn.dll');
DeleteFile('C:\WINDOWS\system32\geplxss.dll');
DeleteFile('C:\Program Files\SpyDawn\SpyDawn.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Сделайте логи, начиная с 10-го пункта Правил.
сделал
[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: (no name) - {194F3908-49E3-D3C9-DCD2-06FF130D4FF7} - C:\WINDOWS\system32\efeqizb.dll (file missing)
O2 - BHO: (no name) - {2809C516-56F2-7406-A198-07D58553B4BA} - C:\WINDOWS\system32\yvpuyu.dll (file missing)
O2 - BHO: (no name) - {953F2B6F-E6DC-E507-F1DC-C2DEC8B15C91} - C:\WINDOWS\system32\kwvexo.dll (file missing)
O2 - BHO: (no name) - {B92F223D-B3DA-B80D-FF9C-96FB8A14229F} - C:\WINDOWS\system32\lctskwkg.dll (file missing)
O2 - BHO: (no name) - {C63D2D18-E0AF-C757-F1AD-B4DEB5C20DE6} - C:\WINDOWS\system32\webr.dll (file missing)
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\oqrdiapx.dll (file missing)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - C:\WINDOWS\system32\ugliwbil.dll (file missing)
O2 - BHO: (no name) - {F448986E-0BD3-297B-DB3F-5D9091A338EE} - C:\WINDOWS\system32\tlgwsvx.dll (file missing)
O2 - BHO: (no name) - {F71DC948-0CF4-0B2B-DB4E-2B90ECD33BCD} - C:\WINDOWS\system32\zqeo.dll (file missing)
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\omxwoyca.dll",setvm
O4 - HKCU\..\Run: [Bwer] "C:\WINDOWS\TASKS\winlogon.exe" -vt ndrv
O20 - Winlogon Notify: loesvs - C:\WINDOWS\addins\loesvs.dll (file missing)
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)
[/quote]
сделал
Появилось то, чего не было в первых логах :(
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\TАSKS\winlogon.exe','');
DeleteFile('C:\WINDOWS\TАSKS\winlogon.exe');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8342_quarantine2.zip');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки загрузите файл virusinfo_8342_quarantine2.zip из каталога AVZ через форму [url]http://virusinfo.info/upload_virus.php?tid=8342[/url]
Повторите логи, начиная с 10-го пункта Правил.
done
@Andreyka
Может из-за этого удаляется не все dll-ки. Плюс куча открытых портов.
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
C:\WINDOWS\TАSKS\winlogon.exe - Adware.ClickSpring
Логи чистые.
Осталось только пофикить в HijackThis следующую строку:
[quote]
O2 - BHO: (no name) - {04102CAD-F376-3C82-21BB-05B4BE7349F0} - C:\WINDOWS\system32\jcpltnn.dll (file missing)
[/quote]
System Alert! из панели задач пропал?
[QUOTE=PavelA;99164]@Andreyka
Может из-за этого удаляется не все dll-ки. Плюс куча открытых портов.
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/QUOTE]
Может, я просто не знаю :( что это значит. Поэтому и не предлагал фиксить.
А куча открытых портов, скорее всего, от eMule.
сделано
Алерт из панели пропал, спасибо) ещё что-нибудь нужно высылать или комп чист?