Показано с 1 по 18 из 18.

Завелись секретные черви (заявка № 10828)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39

    Thumbs up Завелись секретные черви

    антивирус (Avira) нашел несколько файлов-вирусов и предложил удалить их, после перезагрузки опять нашел их же и так каждый раз. Видимо он не смог найти архив из которого появился вирус. Вирус кстати сразу прибил виндовский файрвол и гуард антивируса. Гуард я вылечил переустановкой антивира, а файрвол пока мертв.
    Сделал все что написано в правилах, помогите пожалуйста.

    антивир ловит каждый раз эти файлы
    qy.sys
    vrscn.dll
    ovrscn
    qz.dll
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL','');
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     DeleteFile('C:\WINDOWS\userinit.exe');
     DeleteFile('ovrscn.dll');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от Vasy Посмотреть сообщение
    qy.sys
    qy.dll
    поискать в AVZ, найдутся добавить в карантин и прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    нет у меня Zip`а, вот выложил результат в раре, пока пришлось удалить антивир, иначе система не загружается.
    http://files.filefront.com//;7965656;;/
    Вложения Вложения
    Последний раз редактировалось Vasy; 05.07.2007 в 10:43. Причина: Добавлено сообщение

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от Vasy Посмотреть сообщение
    нет у меня Zip`а,
    Zip встроен в AVZ. Заходишь в просмотр карантина, выделяешь все файлы, нажимаещь кнопочку с изображением Zip-а и все готово.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Zip встроен в AVZ. Заходишь в просмотр карантина, выделяешь все файлы, нажимаещь кнопочку с изображением Zip-а и все готово.
    скинул

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    В hijackthis профиксите:
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    Думаю, полегчает.
    На всякий случай скачай Avenger с одноименного сайта.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    В hijackthis профиксите:
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    Думаю, полегчает.
    На всякий случай скачай Avenger с одноименного сайта.
    О4 прибил Starter`ом, остальные пофиксил.
    Теперь можно антивир включать?
    Для чего нужен Avenger?
    И еще как теперь мне восстановить файрвол? Он сейчас говорит, что не может отобразить себя вследствии непредвиденной ошибки.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Легче стало? Avenger может понадобиться для удаления файлов. Хиджак чистит только реестр. Он не удаляет файлы с диска. Если у тебя не заработает AVZ, то можно удалять через Avenger.

    Попробуй включить антивирус и сделать проверку.

    Нужны новые логи AVZ. Если не запуститься, на сайте Касперского есть Getsysteminfo. Скачаешь, сделаешь протокол и пришлешь сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    Стало легче
    отчеты прикрепил, попробую перезагрузиться.
    Авенджер не нашел, нашел какой-то Unlocker установил на всякий случай.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от Vasy Посмотреть сообщение
    отчеты прикрепил
    А остальные где?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    А остальные где?
    остальные, файрвол видимо сдох совсем
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Выполнить скрипт:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(False);
    DeleteFile('C:\WINDOWS\userinit.exe');
    QuarantineFile('qy.dll','');
    QuarantineFile('qy.sys','');
    QuarantineFile('\??\C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys' ,'');
    DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL');
    DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
    ExecuteSysClean;
    ExecuteStdScr(6);
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин и сделать новые логи.

    В памяти засело два драйвера от AVZ. Что с этим делать пока не знаю.
    Последний раз редактировалось PavelA; 05.07.2007 в 15:07. Причина: Добавил удаление драйверов AVZ
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    Вот логи, карантин залил через верхнюю кнопку
    Вложения Вложения
    Последний раз редактировалось Vasy; 05.07.2007 в 16:27.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Backdoor.Win32.Haxdoor.kz - 'C:\WINDOWS\userinit.exe' Твой зверь.

    Возможно, к сожалению, во время лечения пострадал google Desktop. Его придется либо переустановить, либо восстановить из карантина dll-ку с ним связанную.
    Вижу установил Outpost. Bиндусовый фаер так и не заработал?
    Можно попробовать запустить проверку через Пуск -- Выполнить -- cmd, а затем sfc /scannow. Может потребоваться дистрибутив XP.

    Думаю, лечение можно считать законченным, хотя подождем вердикта по карантину от ЛК.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    04.07.2007
    Сообщений
    8
    Вес репутации
    39
    ай, ай - спасибо огромное!!
    С меня пиво!!
    Куда? ))

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Столица России. Ежели далеко, то пиши, где находишься. Можно в ЛС.
    По работе мотаюсь в разные города, может когда-нибудь залечу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) Vasy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Завелись вирусы
      От IlyaPro в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.07.2009, 11:03
    2. Тараканы опять что ли завелись?
      От Лерка в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 06:26
    3. На BOOKе завелись буки
      От Rina в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.10.2008, 13:10
    4. Подозреваю, что в ПК завелись «партизаны»
      От Homo Sapience в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.05.2008, 22:00
    5. У нас на форуме завелись злостные хакеры :)
      От Geser в разделе Технические и иные вопросы
      Ответов: 10
      Последнее сообщение: 08.11.2005, 20:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00386 seconds with 21 queries