VKGuest отрубил всю сеть

Printable View

27.12.2010, 17:40
kesha333

VKGuest отрубил всю сеть

Привет!
Одна не очень умная девочка скачала этого зверя из контакта и перестали открываться странички и даже шлюз не пингуется....Восттановление AVZ делал (все галки), файл хост обнулил, Куреитом проверял, все следы VKGuest вроде почистил...но всеравно пинг не идёт - пишет "Узел не доступен". Сетевую карту удалял и добавлял - один фиг! Где то что то прописано, но не знаю где....Надеюсь на Вашу помощь!
28.12.2010, 01:59
kesha333

Уже на третью страницу улетел... :(
28.12.2010, 02:21
Aleksandra

Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=94304[/url]
28.12.2010, 13:57
kesha333

[QUOTE=Aleksandra;750188]Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [URL]http://virusinfo.info/upload_virus.php?tid=94304[/URL][/QUOTE]

Добрый день!
Рад что откликнулись!
После выполнеия скрипта сосздается архив, но он пустой (22) :(
Поэтому высылаю в архиве с паролем самого трояна...название файла: VKGuest11111111111, я так понимаю именно он Вам нужен? или я ошибаюсь???

Жду дальнейших указаний...
28.12.2010, 17:03
regist

[B]kesha333[/B], здравствуйте

Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Program Files (x86)\Filter Forge\Filter Forge Help.chm','');
QuarantineFile('C:\Documents and Settings\Administrator\Desktop\VKGuest11111111111.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=94304[/url]
28.12.2010, 19:04
light59

C:\Documents and Settings\Administrator\Desktop\VKGuest11111111111.exe - Trojan.BAT.VKhost.cb

C:\Program Files (x86)\Filter Forge\ - ваше?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

В avz
[CODE]begin
DeleteFile('C:\Documents and Settings\Administrator\Desktop\VKGuest11111111111.exe');
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
end.[/CODE]
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
29.12.2010, 12:25
kesha333

[QUOTE=regist;750337][B]kesha333[/B], здравствуйте

Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Program Files (x86)\Filter Forge\Filter Forge Help.chm','');
QuarantineFile('C:\Documents and Settings\Administrator\Desktop\VKGuest11111111111.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [URL]http://virusinfo.info/upload_virus.php?tid=94304[/URL][/QUOTE]

Загрузил!

[QUOTE]
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
[/QUOTE]

Готово!

[QUOTE]C:\Program Files (x86)\Filter Forge\ - ваше?
[/QUOTE]

Моё:)
29.12.2010, 16:30
Aleksandra

[QUOTE=kesha333;750051]Одна не очень умная девочка скачала этого зверя из контакта[/QUOTE]
А почему все это делалось на сервере?

[QUOTE=kesha333;750051]Восттановление AVZ делал (все галки)[/QUOTE]
Вот в этом и вся проблема. [URL="http://www.freeguitar.ru/it/windows/windows-server-2003-avz-i-pereustanovka-tcpip/"]Прочитайте[/URL] и попробуйте выполнить. Гарантии что это поможет я, естественно, никакой Вам дать не могу.
29.12.2010, 16:51
kesha333

[QUOTE=Aleksandra;750704]А почему все это делалось на сервере?

Вот в этом и вся проблема. [URL="http://www.freeguitar.ru/it/windows/windows-server-2003-avz-i-pereustanovka-tcpip/"]Прочитайте[/URL] и попробуйте выполнить. Гарантии что это поможет я, естественно, никакой Вам дать не могу.[/QUOTE]

А с чего Вы решили что это сервер? Это хрюша 64 битная....
29.12.2010, 17:48
Aleksandra

[QUOTE]Platform: Windows 2003 SP2 (WinNT 5.02.3790)[/QUOTE]
Да, действительно. Ошиблась...
29.12.2010, 19:46
kesha333

[QUOTE=Aleksandra;750704]

Вот в этом и вся проблема. [URL="http://www.freeguitar.ru/it/windows/windows-server-2003-avz-i-pereustanovka-tcpip/"]Прочитайте[/URL] и попробуйте выполнить. Гарантии что это поможет я, естественно, никакой Вам дать не могу.[/QUOTE]

В этом способе не доконца описана процедура удаления стека...но порыскал в нете и нашёл...удалил -поставил и всё заработало!!!
Интересно было б конечно узнать что там троянец поменял такого ну да ладно...

Спасибо Вам и с наступающим!!!
29.12.2010, 19:54
Aleksandra

[QUOTE=kesha333;750769]Интересно было б конечно узнать что там троянец поменял[/QUOTE]
Я могу его поковырять, но только не сегодня. Зайдете на днях?
30.12.2010, 00:02
kesha333

Было бы здорово! Но зайти смогу только в конце праздников...если не сложно продублируйте пожалуйста ответ мне на почту: мой ник собака мыло точка ру.

Спасибо!
31.12.2010, 00:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\administrator\\desktop\\vkguest11111111111.exe - [B]Trojan.BAT.VKhost.cb[/B] ( DrWEB: Trojan.Hosts.2585, BitDefender: Trojan.Generic.KDV.93642, NOD32: BAT/Qhost.KS trojan, AVAST4: Win32:Malware-gen )[*] \\vkguest11111111111.exe - [B]Trojan.BAT.VKhost.cb[/B] ( DrWEB: Trojan.Hosts.2585, BitDefender: Trojan.Generic.KDV.93642, NOD32: BAT/Qhost.KS trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]