Троян который не лечит ДокВеб и Окно с winantivirus задолбала
need your help
Троян который не лечит ДокВеб и Окно с winantivirus задолбала
need your help
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
2.Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\nyvquuqx.dll',''); QuarantineFile('C:\WINDOWS\system32\oirxcfiv.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\tuvsssr.dll',''); QuarantineFile('C:\WINDOWS\system32\bcrmskvt.dll',''); QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe',''); QuarantineFile('C:\WINDOWS\system32\gbnwlrcm.exe',''); QuarantineFile('C:\WINDOWS\system32\jkfqavch.dll',''); QuarantineFile('C:\WINDOWS\system32\jpiqhwlg.exe',''); QuarantineFile('C:\WINDOWS\system32\majhwoma.dll',''); QuarantineFile('C:\WINDOWS\system32\rytjmrxk.dll',''); QuarantineFile('C:\WINDOWS\system32\uswnowdj.exe',''); QuarantineFile('C:\WINDOWS\system32\xuuoswra.dll',''); QuarantineFile('C:\WINDOWS\system32\crbkiwfs.exe',''); QuarantineFile('C:\WINDOWS\system32\davxtupp.exe',''); QuarantineFile('C:\WINDOWS\system32\ddccb.dll',''); QuarantineFile('C:\WINDOWS\system32\dnxclrgu.exe',''); QuarantineFile('C:\WINDOWS\system32\dskiy.exe',''); QuarantineFile('C:\WINDOWS\system32\enwalumy.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10486
Последний раз редактировалось drongo; 19.06.2007 в 14:52.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
в дополнение к скрипту drongo
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\enwalumy.dll',''); QuarantineFile('C:\WINDOWS\system32\dskiy.exe',''); BC_QrSvc('AFSEGTGF Windows Service'); BC_DeleteSvc('AFSEGTGF Windows Service'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportQuarantineList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10486
Последний раз редактировалось Muzzle; 19.06.2007 в 13:20.
Я выполнил 1ый скрипт комп хотел выключится и завис,
я выключил кнопкой, перезагрузил, и отправил вам карантинный файл.
Как я буду выполнять второй скрипт и отправлять файл по той же ссылке
с тем же именем.
НЕ ЛОГИЧНО как то.
Все нормально. Чтобы два раза одно и то же не закачивать, удалите в папке программы AVZ папку Quarantine, затем выполните скрипт Muzzle и пришлите новый карантин по правилам.НЕ ЛОГИЧНО как то.
I am not young enough to know everything...
ВСе зделал как просили, ЖДУ от вас помощи господа.
Доктер Веб сигнализирует о все прогрессирующем вирусе Trojan.Virtumod
уже два файла в папке system32 заражены:
ddccb.dll
dfgqodcb.dll
Если бы только два!!уже два файла в папке system32 заражены:
В карантине все файлы вредоносные, присутствуют следующие виды:
not-a-virus:Downloader.Win32.WinFixer.l
not-a-virus:AdWare.Win32.Virtumonde.fp
not-a-virus:AdWare.Win32.Virtumonde.jp
not-a-virus:AdWare.Win32.BHO.v
Trojan.Win32.Agent.anr
Сейчас напишу скрипт...
Последний раз редактировалось Bratez; 20.06.2007 в 13:41.
I am not young enough to know everything...
Выполните скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\crbkiwfs.exe'); DeleteFile('C:\WINDOWS\system32\davxtupp.exe'); DeleteFile('C:\WINDOWS\system32\dnxclrgu.exe'); DeleteFile('C:\WINDOWS\system32\gbnwlrcm.exe'); DeleteFile('C:\WINDOWS\system32\jkfqavch.dll'); DeleteFile('C:\WINDOWS\system32\jpiqhwlg.exe'); DeleteFile('C:\WINDOWS\system32\majhwoma.dll'); DeleteFile('C:\WINDOWS\system32\rytjmrxk.dll'); DeleteFile('C:\WINDOWS\system32\uswnowdj.exe'); DeleteFile('C:\WINDOWS\system32\xuuoswra.dll'); DeleteFile('C:\WINDOWS\system32\ybajqnpd.exe'); DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr00448.exe'); DeleteFile('C:\WINDOWS\system32\bcrmskvt.dll'); DeleteFile('C:\WINDOWS\system32\ddccb.dll'); DeleteFile('C:\WINDOWS\system32\tuvsssr.dll'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\oirxcfiv.dll'); DeleteFile('C:\WINDOWS\system32\nyvquuqx.dll'); DeleteFile('C:\WINDOWS\system32\enwalumy.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи п.10-13 правил.
I am not young enough to know everything...
Вот теперь мне намного спокойнее.
наверно
Профиксить остатки в HijackThis
в дополнение обновить java.Код:O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - C:\WINDOWS\system32\tuvsssr.dll (file missing) O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\oirxcfiv.dll (file missing) O2 - BHO: (no name) - {8B8DBCEE-DFB5-44D6-8559-4ABC10BD0106} - C:\WINDOWS\system32\ddccb.dll (file missing) O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\nyvquuqx.dll (file missing) O20 - Winlogon Notify: ddccb - C:\WINDOWS\ O20 - Winlogon Notify: tuvsssr - tuvsssr.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет, не все так хорошо, еще один активный зловред появился!
Выполните скрипт:
Свежий карантин пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\iqxdssdf.dll',''); DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll'); BC_DeleteFile('C:\WINDOWS\system32\iqxdssdf.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
И сделайте еще раз все три лога, эти Virtumonde имеют свойство плодиться в папке system32 и валяться там как у себя дома
I am not young enough to know everything...
Вот обновил java
ВСе скрипты сделал, карантин отослал
еще
Заметил такую особенность Я всех вижу по локальной сети
а меня нет почему то, это из-за чего интересно,
неужеле virtualmod паразитирует,
мне кажется мы боремся с хвостами, есть ли у него тело,
что бы сразу убить наповал.
если это микробы тогда нужна мощная химотерапия
под кодовым названием "всех сразу в один миг".
все повторил без феникса
Если посмотришь логи, то на порядок чище стало.
Выполняем, после перезагрузки присылаем карантин.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe' ,''); QuarantineFile('C:\WINDOWS\system32\oaynsjcl.dll' ,'' ); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Я отослал карантин.
Как в опере отключить java скрипты?
они мне нафиг не нужны.
opr0044E.exe - на вот это мой Симантек заругался.
Будем удалять:
После этого новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\UserMan\Application Data\Opera\Opera\profile\cache4\opr0044E.exe'); DeleteFile('C:\WINDOWS\system32\oaynsjcl.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось PavelA; 22.06.2007 в 11:07.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
АВЗ ругается на последний скрипт
Ошибка скрипта: Too many actual parameters, позиция [4:11]
Еще меня по локальной сети не видят другие компы
вернее видят но зайти с них на мой комп нельзя
ругается какой то красной табличкой
Уважаемый(ая) ILYA04, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.