Троян который не лечит ДокВеб и Окно с winantivirus задолбала!!!!!

Троян который не лечит ДокВеб и Окно с winantivirus задолбала
:)need your help

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nyvquuqx.dll','');
QuarantineFile('C:\WINDOWS\system32\oirxcfiv.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\tuvsssr.dll','');
QuarantineFile('C:\WINDOWS\system32\bcrmskvt.dll','');
QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe','');
QuarantineFile('C:\WINDOWS\system32\gbnwlrcm.exe','');
QuarantineFile('C:\WINDOWS\system32\jkfqavch.dll','');
QuarantineFile('C:\WINDOWS\system32\jpiqhwlg.exe','');
QuarantineFile('C:\WINDOWS\system32\majhwoma.dll','');
QuarantineFile('C:\WINDOWS\system32\rytjmrxk.dll','');
QuarantineFile('C:\WINDOWS\system32\uswnowdj.exe','');
QuarantineFile('C:\WINDOWS\system32\xuuoswra.dll','');
QuarantineFile('C:\WINDOWS\system32\crbkiwfs.exe','');
QuarantineFile('C:\WINDOWS\system32\davxtupp.exe','');
QuarantineFile('C:\WINDOWS\system32\ddccb.dll','');
QuarantineFile('C:\WINDOWS\system32\dnxclrgu.exe','');
QuarantineFile('C:\WINDOWS\system32\dskiy.exe','');
QuarantineFile('C:\WINDOWS\system32\enwalumy.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
2.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10486[/url]

в дополнение к скрипту [B]drongo[/B]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\enwalumy.dll','');
QuarantineFile('C:\WINDOWS\system32\dskiy.exe','');
BC_QrSvc('AFSEGTGF Windows Service');
BC_DeleteSvc('AFSEGTGF Windows Service');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10486[/url]

Я выполнил 1ый скрипт комп хотел выключится и завис,
я выключил кнопкой, перезагрузил, и отправил вам карантинный файл.

Как я буду выполнять второй скрипт и отправлять файл по той же ссылке
с тем же именем.
НЕ ЛОГИЧНО как то.

[QUOTE]НЕ ЛОГИЧНО как то.[/QUOTE]
Все нормально. Чтобы два раза одно и то же не закачивать, удалите в папке программы AVZ папку Quarantine, затем выполните скрипт [B]Muzzle[/B] и пришлите новый карантин по правилам.

ВСе зделал как просили, ЖДУ от вас помощи господа.

Доктер Веб сигнализирует о все прогрессирующем вирусе Trojan.Virtumod

уже два файла в папке system32 заражены:
ddccb.dll
dfgqodcb.dll

[QUOTE]уже два файла в папке system32 заражены:[/QUOTE]
Если бы только два!!
В карантине все файлы вредоносные, присутствуют следующие виды:

[B]not-a-virus:Downloader.Win32.WinFixer.l
not-a-virus:AdWare.Win32.Virtumonde.fp
not-a-virus:AdWare.Win32.Virtumonde.jp
not-a-virus:AdWare.Win32.BHO.v
Trojan.Win32.Agent.anr[/B]

Сейчас напишу скрипт...

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\crbkiwfs.exe');
DeleteFile('C:\WINDOWS\system32\davxtupp.exe');
DeleteFile('C:\WINDOWS\system32\dnxclrgu.exe');
DeleteFile('C:\WINDOWS\system32\gbnwlrcm.exe');
DeleteFile('C:\WINDOWS\system32\jkfqavch.dll');
DeleteFile('C:\WINDOWS\system32\jpiqhwlg.exe');
DeleteFile('C:\WINDOWS\system32\majhwoma.dll');
DeleteFile('C:\WINDOWS\system32\rytjmrxk.dll');
DeleteFile('C:\WINDOWS\system32\uswnowdj.exe');
DeleteFile('C:\WINDOWS\system32\xuuoswra.dll');
DeleteFile('C:\WINDOWS\system32\ybajqnpd.exe');
DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe');
DeleteFile('C:\WINDOWS\system32\bcrmskvt.dll');
DeleteFile('C:\WINDOWS\system32\ddccb.dll');
DeleteFile('C:\WINDOWS\system32\tuvsssr.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\oirxcfiv.dll');
DeleteFile('C:\WINDOWS\system32\nyvquuqx.dll');
DeleteFile('C:\WINDOWS\system32\enwalumy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Сделайте новые логи п.10-13 правил.

Вот теперь мне намного спокойнее.
наверно

Профиксить остатки в HijackThis
[CODE]
O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - C:\WINDOWS\system32\tuvsssr.dll (file missing)
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\oirxcfiv.dll (file missing)
O2 - BHO: (no name) - {8B8DBCEE-DFB5-44D6-8559-4ABC10BD0106} - C:\WINDOWS\system32\ddccb.dll (file missing)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\nyvquuqx.dll (file missing)
O20 - Winlogon Notify: ddccb - C:\WINDOWS\
O20 - Winlogon Notify: tuvsssr - tuvsssr.dll (file missing)
[/CODE]

в дополнение обновить java.

Нет, не все так хорошо, еще один активный зловред появился!
Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iqxdssdf.dll','');
DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll');
BC_DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Свежий карантин пришлите по правилам.
И сделайте еще раз все три лога, эти Virtumonde имеют свойство плодиться в папке system32 и валяться там как у себя дома ;)

Вот обновил java
ВСе скрипты сделал, карантин отослал
еще
Заметил такую особенность Я всех вижу по локальной сети
а меня нет почему то, это из-за чего интересно,
неужеле virtualmod паразитирует,

мне кажется мы боремся с хвостами, есть ли у него тело,
что бы сразу убить наповал.
если это микробы тогда нужна мощная химотерапия
под кодовым названием "всех сразу в один миг".

[QUOTE=ILYA04;117282]
Заметил такую особенность Я всех вижу по локальной сети
а меня нет почему то, это из-за чего интересно,
неужеле virtualmod паразитирует,

мне кажется мы боремся с хвостами, есть ли у него тело,
что бы сразу убить наповал.
если это микробы тогда нужна мощная химотерапия
под кодовым названием "всех сразу в один миг".[/QUOTE]

Бороться можно очень-очень долго, если не отключать "Восстановление системы". Все будет восст. как птица Феникс из пепла.

все повторил без феникса

Если посмотришь логи, то на порядок чище стало.:)
Выполняем, после перезагрузки присылаем карантин.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe' ,'');
QuarantineFile('C:\WINDOWS\system32\oaynsjcl.dll' ,'' );
RebootWindows(true);
end.[/CODE]

Я отослал карантин.
Как в опере отключить java скрипты?
они мне нафиг не нужны.

opr0044E.exe - на вот это мой Симантек заругался.
Будем удалять:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe');
DeleteFile('C:\WINDOWS\system32\oaynsjcl.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После этого новые логи.

[quote=ILYA04;117532]Я отослал карантин.
Как в опере отключить java скрипты?
они мне нафиг не нужны.[/quote]


[url]http://virusinfo.info/showthread.php?t=6577[/url]

АВЗ ругается на последний скрипт
Ошибка скрипта: Too many actual parameters, позиция [4:11]

Еще меня по локальной сети не видят другие компы
вернее видят но зайти с них на мой комп нельзя
ругается какой то красной табличкой

Сорри. Поправил.

Выполнил последний скрипт

Похоже, победа одержана. Может кто еще чего плохого увидит.

F:\autorun.inf от игры ?
насчёт соседи видят, но зайти не могут- так это же отлично- меньше вирусов от соседей будете получать ;)

Отлично я пожимаю всем хелперам руку
мне только не понятно кто это все спонсирует
или для чего это все делается
Я имею ввиду альтруизм ваш
ну да ладно Спасибо еще раз

Насчет игры, это я иногда разрежаю плохие эмоции на Battlefield 2142
рекомендую отличная игра на мультиплеер
непожалел денег на лицензионку

[QUOTE]Похоже, победа одержана. Может кто еще чего плохого увидит.[/QUOTE]
Чисто мое маленькое IMHO - я бы пофиксил еще вот эти ненужные вещи:
[code]
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
[/code]
Поясню:
1. Вряд ли вы хотите получать новости от компании ABBYY.
2. Если в отношении продуктов Adobe вы простой пользователь, а не суперпрофессионал,
оно вам абсолютно не важно.
3. Типа "ускоритель" для запуска программ MS Office, эффективность=0.

я профиксил профиксил
только одна проблемка с локальной сетью осталось
на принтерах по сети могу печатать только одну страницу
раньше такого небыло

[QUOTE]на принтерах по сети могу печатать только одну страницу[/QUOTE]
А если принтера у себя поудалять, а потом подключить заново?

Вы молодцы и принтер заработал

ну же, может и локальную сеть почините

ко мне не могут зайти по сети
появляется красная табличка
не найден сетевой путь

Проверьте чтобы рабочая группа у вас была одинаковая с другими пользователями сети.
Если вы не отключали встроенный брандмауэр windows,то попробуйте.

панель управления-->брандмауэр windows-->вкладка исключения, поставить галочку общий доступ к файлам и принтерам.

Все работает

[quote=ILYA04;119195]Все работает[/quote]
Ну и ладушки ;)
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]161[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\userman\\application data\\opera\\opera\\profile\\cache4\\opr0044e.exe - [B]not-a-virus:Downloader.Win32.WinFixer.ar[/B] (DrWEB: Tool.ERT)[*] c:\\documents and settings\\userman\\application data\\opera\\opera\\profile\\cache4\\opr00448.exe - [B]not-a-virus:Downloader.Win32.WinFixer.ar[/B] (DrWEB: Tool.ERT)[*] c:\\windows\\system32\\crbkiwfs.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\davxtupp.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\ddccb.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.fp[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\dnxclrgu.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\gbnwlrcm.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\iqxdssdf.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ki[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\jkfqavch.dll - [B]not-a-virus:AdWare.Win32.BHO.v[/B] (DrWEB: Adware.Crew)[*] c:\\windows\\system32\\jpiqhwlg.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\majhwoma.dll - [B]not-a-virus:AdWare.Win32.BHO.v[/B] (DrWEB: Adware.Crew)[*] c:\\windows\\system32\\oaynsjcl.dll - [B]Trojan-Spy.Win32.VBStat.h[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\rytjmrxk.dll - [B]not-a-virus:AdWare.Win32.BHO.v[/B] (DrWEB: Adware.Crew)[*] c:\\windows\\system32\\tuvsssr.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jp[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\uswnowdj.exe - [B]Trojan.Win32.Agent.anr[/B] (DrWEB: Trojan.LowZones.233)[*] c:\\windows\\system32\\xuuoswra.dll - [B]not-a-virus:AdWare.Win32.BHO.v[/B] (DrWEB: Adware.Crew)[/LIST][/LIST]