Вирус(ы)

Printable View

15.04.2008, 12:54
falkk

Вирус(ы)

Здравствуйте, компьютер ведёт себя не одекватно. Открываются другие сайты ... и т.д
15.04.2008, 13:05
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\sasha\ie_updates3r.exe');
SetServiceStart('Google Online Services', 4);
StopService('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\ujsp430.exe','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('mssign.dll','');
QuarantineFile('kdlbx.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('ZZZdrv_lich.sys','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
QuarantineFile('c:\documents and settings\sasha\ie_updates3r.exe','');
QuarantineFile('c:\windows\temp\calc.exe','');
DeleteService('ZZZdrv_lich');
DeleteService('Google Online Services');
DeleteFile('c:\documents and settings\sasha\ie_updates3r.exe');
DeleteFile('ZZZdrv_lich.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('kdlbx.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\WINDOWS\system32\ujsp430.exe');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ZZZdrv_lich ');
BC_DeleteSvc('Google Online Services ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21541[/url]

Повторите логи.

Это ваш провайдер:

[CODE]ORG-UL25-RIPE
UkrTeleGroup Ltd.
UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine[/CODE]
15.04.2008, 13:25
falkk

Скрипст выполнил, карантин выслал, вот логи.На счет провайдера не понял ...у меня вроде Стрим.
15.04.2008, 13:41
wise-wistful

ujsp430.exe - [b]Trojan.Win32.DNSChanger.bov[/b]. (удалён)

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\sysmgr.exe');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('mssign.dll','');
QuarantineFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
DeleteFile('c:\windows\system32\sysmgr.exe');
DeleteFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\catchme.sys');
DeleteService('catchme');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: mssign - mssign.dll (file missing) [/CODE]

Повторите логи.
15.04.2008, 14:00
falkk

Готово.
15.04.2008, 14:10
wise-wistful

[b]Aou66.sys[/b] - вот этот попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.

В предыдущий карантин никто не захотел.
15.04.2008, 14:14
Гриша

Если эти адреса(85.255.113.148,85.255.112.185) вам неизвестны [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите [/URL]эти строчки:

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{0609288C-EFE9-40AE-8304-FAC2DCCA27B5}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{09CD2D3C-7AE5-428F-8C06-01671745324A}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F85DDD8-E873-4089-AB4E-F8D90C21D32E}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{47BC82A3-A169-488C-91B5-404130418A06}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BB7EB1C-4ADE-4937-9A13-39785D2829CF}: NameServer = 85.255.113.148 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{79C8CBFB-7F21-444B-9095-CD6D538D09B9}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B7FBB36-F64E-43F8-B0C0-BFA6DB4D4969}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCF83E7-0791-4E21-9737-35DD6647657D}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{E569267E-E5D7-4640-92F3-B4F10183967D}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.148 85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\..\{0609288C-EFE9-40AE-8304-FAC2DCCA27B5}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.148 85.255.112.185
O17 - HKLM\System\CS2\Services\Tcpip\..\{0609288C-EFE9-40AE-8304-FAC2DCCA27B5}: NameServer = 85.255.113.148,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.148 85.255.112.185[/CODE]
15.04.2008, 14:16
falkk

Файла с таким именем нет
15.04.2008, 14:17
wise-wistful

В АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\DRIVERS\Aou66.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
15.04.2008, 14:18
falkk

Гриша всё профиксил.
15.04.2008, 14:21
Гриша

Пришлите вот эти 2 файлика apcsvra.exe,apcsvra.dll согласно приложению 2 правил
15.04.2008, 14:29
falkk

Блин что за фигня ... немогу прикрепить логи:(
15.04.2008, 14:32
Гриша

Удалите старые логи через "Мой кабинет"=>"Управление вложениями"
15.04.2008, 14:32
falkk

apcsvra.exe,apcsvra.dll АВЗ эти файлы не нашел
15.04.2008, 14:34
falkk

Вложений: 2

Вот последние логи
15.04.2008, 14:38
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('apcsvra');
DeleteService('apcsvra32');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('apcsvra ');
BC_DeleteSvc('apcsvra32 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

На этом лечение окончено,жалобы есть?
15.04.2008, 14:47
falkk

Скрипт выполнил, на счет жалоб ... поработаем увидем:D. Спасибо вам огромное за оперативную поддержку и работу!
15.04.2008, 14:48
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
15.04.2008, 17:37
falkk

Ничего не понял ... Включил AntiVir нашел 21 Вирус , скачал Dr.Web cureit он нашел Trojan.virtumod.based (удалить его не смогла программа) и BackDoor.Bech ...:(
15.04.2008, 17:38
Гриша

Сделайте логи.
15.04.2008, 17:54
falkk

Вложений: 2

Вот ...
15.04.2008, 18:02
V_Bond

на какой файл ругается антивирус ... ?
15.04.2008, 18:10
falkk

Вложений: 1

Вот логи AntiVir
15.04.2008, 18:29
Гриша

Очистите временные папки,очистите карантин AVZ,карантин Dr.Web и все это пропадет.
22.02.2009, 04:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ujsp430.exe - [B]Trojan.Win32.DNSChanger.bov[/B] (DrWEB: Trojan.DnsChange.951)[*] \\turbo-codec.v.5.025.exe - [B]Trojan.Win32.DNSChanger.bov[/B] (DrWEB: archive: Trojan.Starter.509)[/LIST][/LIST]