Помогите пожалуйста побороть заразу.
Админских прав нет. В свойства не пускает.
Логи приатачил. Если есть вопросы сразу же отвечу.
Printable View
Помогите пожалуйста побороть заразу.
Админских прав нет. В свойства не пускает.
Логи приатачил. Если есть вопросы сразу же отвечу.
да уж, нахватались ;) а 2 пункт делали ?
насчёт админских прав, AVZ же клянётся что под админом запускался- неувязочка ;)
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\WINZIP\wzusr90.exe','');
QuarantineFile('C:\WINDOWS\2k3_USR.EXE','');
QuarantineFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');
QuarantineFile('c:\windows\System32\drivers\BlackDrv.sys','');
QuarantineFile('c:\windows\system32\drivers\mvfs50.sys','');
QuarantineFile('C:\WINDOWS\shell.exe','');
QuarantineFile('C:\Program Files\ofiiousq\vuoqsioi.dll','');
QuarantineFile('c:\windows\shell.exe','');
QuarantineFile('C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\launchAP.exe','');
QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll','');
QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe','');
QuarantineFile('C:\TEMP\1632.exe','');
QuarantineFile('C:\TEMP\16agent.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15098[/url]
P.S.Скрипт не лечит, только копирует нужные нам файлы для исследований ;)
Странно, при попытке запуска панели управления или свойств экрана компьютер пишет что нехватает прав. Вот я и подумал что слетели админские права. ;)
карантин закачал.
Спасибо за ответ
autorun.exe, spoolvs.exe, printer.exe, shell.exe - [b]Trojan-Downloader.Win32.Agent.eus[/b]
1632.exe, 16agent.exe - [b]Trojan-Downloader.Win32.Alphabet.gen[/b]
vuoqsioi.dll - [b]not-a-virus:AdWare.Win32.Agent.wk[/b]
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {2F02D978-0FF6-80F7-60BB-0426224AB7B3} - C:\Program Files\ofiiousq\vuoqsioi.dll
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - Global Startup: autorun.exe
O20 - Winlogon Notify: ccnotify - C:\Program Files\Rational\bin\ccnotify.dll (file missing)
[/code]
Сразу же после фикса выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ofiiousq\vuoqsioi.dll');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Очистите папку C:\TEMP.
Обновите базы AVZ и сделайте новые логи.
Новые логи приатачил.
Спасибо за помощь.
Нда, обновление баз AVZ тут помогло больше чем скрипт ;)
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
[/code]
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('D:\Users\aas202\Application Data\trant.exe');
DeleteFile('D:\Users\aas202\Application Data\spyguard.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Логи придется еще раз сделать.
Скрипт не запускается с этой строчкой
ExecuteSysClean;
Пишет ' Invalid data type for " '
Если ее удалить то все работает. Логи в процессе.
Новые логи в атаче...
Ну вот теперь почти чисто.
На всякий случай проверим еще пару файлов.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
QuarantineFile('L:\autorun.inf','');
QuarantineFile('C:\Program Files\E404 Helper\e404.v5.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
в карантине ничего нету :D
Вот как? Тогда ищите вручную через AVZ - Сервис - Поиск файлов на диске.
Если L: это CD/DVD или виртуальник, тогда autorun не надо.
[b]e404.v5.dll[/b] - этот существует 100%.
диск L виртуальный.
e404.v5.dll нашелся.
Выполнил еще раз скрипт.
Вот карантин
Файл сохранён как 071211_065227_virus_475e880b5e57c.zip
Размер файла 14627
MD5 5ede089d6f0cbbac7ecaed62fa9bf0b6
Свежее adware...
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll');
BC_DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и пофиксите в HijackThis:
[code]
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\E404 Helper\e404.v5.dll
[/code]
Для контроля сделайте логи, начиная с п.10 правил.
приаттачил
e404.v5.dll - [B][COLOR="Blue"]not-a-virus:AdWare.Win32.Agent.xi[/COLOR][/B]
Теперь порядок.
Вот эти подозрения AVZ:
[code]
C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960)
C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768)
C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
[/code]
скорее всего ложные, хотя не помешает проверить эти файлы на [url]www.virustotal.com[/url].
Больше ничего плохого нет.
[quote=Bratez;159595]
[code]
C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960)
C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768)
C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
[/code]
Пришлите их нам по пункту 2 правил, надёжнее ;)
кстати, ссылка на cureit жива, только там по протоколу ftp.
Возможно у вас перекрыто, спросите местного админа ;)
[quote=drongo;159627] кстати, ссылка на cureit жива, только там по протоколу ftp.[/quote]
Уточнение для админа: по пассивному ФТП.
Paul
Все вроде починили. Спасибо всем огромнейшее
не забудте под ограниченным юзером работать по умолчанию, а то опять что нибудь схватите ;)а и в интернет через firefox+ noscript.
А вы поставили нам[url=http://www.eaward.ru/listprojs.php?what=work&cat=1&proj=2038]5 сегодня?[/url]
да поставил!! :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\e404 helper\\e404.v5.dll - [B]not-a-virus:AdWare.Win32.E404.c[/B] (DrWEB: Adware.Nopage)[*] c:\\program files\\ofiiousq\\vuoqsioi.dll - [B]not-a-virus:AdWare.Win32.Agent.wk[/B] (DrWEB: Trojan.DownLoader.38059)[*] c:\\temp\\16agent.exe - [B]Trojan-Downloader.Win32.Alphabet.gen[/B] (DrWEB: Trojan.Click.4963)[*] c:\\temp\\1632.exe - [B]Trojan-Downloader.Win32.Alphabet.gen[/B] (DrWEB: Trojan.Click.4963)[*] c:\\windows\\shell.exe - [B]Trojan-Downloader.Win32.Agent.eus[/B] (DrWEB: Trojan.Fakealert)[*] c:\\windows\\system32\\printer.exe - [B]Trojan-Downloader.Win32.Agent.eus[/B] (DrWEB: Trojan.Fakealert)[*] c:\\windows\\system32\\spoolvs.exe - [B]Trojan-Downloader.Win32.Agent.eus[/B] (DrWEB: Trojan.Fakealert)[*] d:\\users\\all users\\start menu\\programs\\startup\\autorun.exe - [B]Trojan-Downloader.Win32.Agent.eus[/B] (DrWEB: Trojan.Fakealert)[/LIST][/LIST]