Вчера у соседа вылезла проблема с вирями.
Сделал логи но отправить так и не смог... т.к. ни один браузер не открывает страницы ..... никаких сайтов ???
Соединение модемное - соединяется нормально, а страницы не открывает.
Логи отсылаю с работы....
Printable View
Вчера у соседа вылезла проблема с вирями.
Сделал логи но отправить так и не смог... т.к. ни один браузер не открывает страницы ..... никаких сайтов ???
Соединение модемное - соединяется нормально, а страницы не открывает.
Логи отсылаю с работы....
Да еще забыл.... после загрузки пытается куда-то в инет лезть....
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_QrFile('rsvp32_2.dll');
BC_QrFile('C:\WINDOWS\system32\bhslnnnr.dll');
BC_QrFile('svcchost.exe');
BC_QrFile('C:\WINDOWS\System32\vtstq.dll');
BC_QrFile('C:\WINDOWS\system32\jrplivcn.dll');
BC_QrFile('c:\windows\system32\lnwin.exe');
BC_QrFile('c:\windows\system32\adirss.exe');
BC_QrFile('c:\windows\system32\adirka.exe');
BC_QrFile('svcchost.exe');
BC_QrFile('rsvp32_2.dll');
BC_DeleteFile('svcchost.exe');
BC_DeleteFile('rsvp32_2.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать получившийся карантин, согласно Правил.
В тему вложить boot_clr.log из директории AVZ
Скорее всего, пропадет Интернет (хотя он и не работал)
Чтобы исправить выполните скрипт:
[CODE]begin
ExecuteRepair(14);
end.
[/CODE]
Если не поможет, то еще один:
[CODE]begin
ExecuteRepair(15);
end.
[/CODE]
Спасибо. Вечером выполню.....
Спасибо. Скрипты выполнил. Инет заработал. Файлы карантина высылаю. А после загрузки все равно спрашивает "Работать автономно" ???
К моему глубокому сожалению :(, лечение надо будет продолжать. 8)Гадости накопили изрядно. После анализа карантина напишем новый скрипт для удаления оставшегося зверья.
Спасибо. Жду скрипт.
Неужели так много зверья ???
Не вижу карантина. Номер темы 8527. Загружать через форму для загрузки.
Файл карантина загружал 20.03.07 около 21.00 с зараженого компа.
Смогу опять послать только вечером, т.к. с собой его нет........
[url]http://virusinfo.info/showthread.php?t=8527[/url] - ссылка на тему.
Загружать через [url]http://virusinfo.info/upload_virus.php?tid=8527[/url]
Файл карантина закачал .....
В присланном:
jrplivcn.dll - программа-реклама not-a-virus:AdWare.Win32.Virtumonde.gf
lnwin.exe, adirss.exe, adirka.exe - вирус Email-Worm.Win32.Zhelatin.d
(по Касперскому)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\jrplivcn.dll');
DeleteFile('c:\windows\system32\lnwin.exe');
DeleteFile('c:\windows\system32\adirss.exe');
DeleteFile('c:\windows\system32\adirka.exe');
DeleteFile('C:\WINDOWS\System32\vtstq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки сделайте новые логи.
vtstq.dll - Trojan.Virtumod, KAV его пока не определяет, так же добавлен в скрипт.
Скрипт выполнил. Высылаю новые логи.
1.Пофиксить в HijackThis( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\bhslnnnr.dll (file missing)
O2 - BHO: (no name) - {B79EB3B0-60D7-4675-A970-68F9D7AA98C8} - C:\WINDOWS\System32\vtstq.dll (file missing)
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: vtstq - C:\WINDOWS\
O23 - Service: Debug Config System - Unknown owner - C:\WINDOWS\system32\lrsys.exe (file missing)
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
O23 - Service: Windows Task Manager - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
[/code]
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINDOWS\system32\vcmon.exe','');
QuarantineFile('C:\WINDOWS\wintasks32.exe','');
QuarantineFile('C:\WINDOWS\system32\lrsys.exe','');
QuarantineFile('C:\WINDOWS\system32\cscentfy.dll','');
QuarantineFile('C:\WINDOWS\System32\taskmngr32.exe','');
QuarantineFile('C:\WINDOWS\system32\zu.exe.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\CE7.tmp','');
DeleteFile('C:\WINDOWS\system32\bhslnnnr.dll');
DeleteFile('C:\WINDOWS\System32\vtstq.dll');
ExecuteSysClean;
RebootWindows(false);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
3.Найдите вот этим способом( [url]http://virusinfo.info/showthread.php?t=4567[/url]) файл :[b]svcchost.exe[/b]
и тоже пришлите (там написано как) :
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\adirka.exe - [B]Email-Worm.Win32.Zhelatin.d[/B] (DrWEB: Trojan.Packed.56)[*] c:\\windows\\system32\\adirss.exe - [B]Email-Worm.Win32.Zhelatin.d[/B] (DrWEB: Trojan.Packed.56)[*] c:\\windows\\system32\\jrplivcn.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.gf[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\lnwin.exe - [B]Email-Worm.Win32.Zhelatin.d[/B] (DrWEB: Trojan.Packed.56)[*] c:\\windows\\system32\\vtstq.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.gen[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]