Подхватил вирус , нужна проверка компьютера . Заранее спс .
Подхватил вирус , нужна проверка компьютера . Заранее спс .
Уважаемый(ая) Gen, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Hijackthis
Описание вируса : Блокирование всей системы под видом антивирусной программы.Что-то типа Your computer wos infected by 32win worm blaster(комп вис удалось выиграть время в деспетчере задач).На рабочем столе был
создан ярлык под названием "defender" желтого цвета . Через поисковик нашел и сам вирус под таким же ярлыком весящий 820 кб удалил... через несколько часов появляется ярлык на рабочем столе и тот же defender в папке application блокировав все. Переименовав ярлык и перезагрузив компьютер деятельность вируса остановилась но всеже он на компьютере.
А также несколько подозрительных действий от :
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF1DA3.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5575.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF55EE.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5628.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DFE479.tmp
Trojan.win32.VBkrypt.fwbo.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing) O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe O4 - HKCU\..\Run: [file_4632] C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe O4 - HKCU\..\Run: [Security Protection] C:\Documents and Settings\All Users\Application Data\defender.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\D.tmp',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\defender.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe',''); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\file_4632.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\defender.exe'); DeleteFile('C:\WINDOWS\TEMP\D.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=108079).
Обновите базы AVZ и сделайте новые логи согласно разделу Диагностика правил.
I am not young enough to know everything...
Антивирус продолжает писать о спаме Trojan.win32.VBKrypt.fwbo
Логи сделал,карантин стараюсь выслать ( загружается и никак...)
Поработав еще и перезагрузив заметил уже как 15 минут флуда нет...( все стабильно)
P.s. карантин не загружается.
Добавлено через 4 минуты
Карантин выслал...
После проверки avz прямое чтение неизвестных мне файлов:
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF1411.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF3F07.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5254.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF57A2.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF5976.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DF8EEE.tmp
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\~DFD384.tmp
Последний раз редактировалось Gen; 31.08.2011 в 18:13. Причина: Добавлено
Сделайте логи согласно правил раздела.
Paula rhei.
Поддержать проект можно тут
Сорри, логи переделал.Борьба с вирусом в силе.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\TEMP\D.tmp',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\defender.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\aN02300CfGaA02300\aN02300CfGaA02300.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\uosbfveg.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\uosbfveg.sys'); DeleteFile('C:\Documents and Settings\All Users\Application Data\aN02300CfGaA02300\aN02300CfGaA02300.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\defender.exe'); DeleteFile('C:\WINDOWS\TEMP\D.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegSearch('HKLM', '', 'D.tmp'); SaveLog(GetAVZDirectory+'avz_log.txt'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Также прикрепите файл avz_log.txt из папки с AVZ.
I am not young enough to know everything...
Просканировал через Малварбайтес( лог прикрепил ) Восстановил
Сделал скрипт( некоторые проблеммы с карантином , нннекоторые инфицированные файлы были удалены до скрипта,возможно я пресылал их в прошлом карантине)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Вируса нет,спама нет,работа компьютера стабильная
спс за помощь
Последний раз редактировалось Gen; 02.09.2011 в 18:26.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\20567'); RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\20567'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\20567'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\209db'); RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\209db'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\209db'); RebootWindows(true); end.
Повторите лог AVZ virusinfo_syscheck.zip
Последний раз редактировалось миднайт; 02.09.2011 в 23:12.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог.
Чисто.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\defender.exe - Trojan-Dropper.Win32.FrauDrop.xyrw ( DrWEB: Trojan.Fakealert.22273, BitDefender: Gen:Variant.Kazy.35811, AVAST4: Win32:MalOb-GS [Cryp] )
- c:\\windows\\temp\\d.tmp - Trojan-Dropper.Win32.FrauDrop.xyrw ( DrWEB: Trojan.Fakealert.22273, BitDefender: Trojan.Generic.KDV.341214, AVAST4: Win32:MalOb-HC [Cryp] )
Уважаемый(ая) Gen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.