У меня завелся какой-та наглый троян всё время что-то просит скачать и вылезает табличка: Trojan Adwere.W32.ExpDwnldr spywere detected и тд.
помогите pelase
У меня завелся какой-та наглый троян всё время что-то просит скачать и вылезает табличка: Trojan Adwere.W32.ExpDwnldr spywere detected и тд.
помогите pelase
Последний раз редактировалось Kostik_yo; 18.11.2007 в 13:01.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Winkcio.exe',''); QuarantineFile('C:\WINDOWS\netsup.dll',''); QuarantineFile('C:\WINDOWS\vsmart.dll',''); QuarantineFile('c:\program files\internet explorer\iexplore.exe',''); QuarantineFile('c:\program files\internet explorer\iexplorekdo.exe',''); QuarantineFile('C:\WINDOWS\extctrl.dll',''); QuarantineFile('C:\WINDOWS\iesup.dll',''); QuarantineFile('c:\windows\system32\winkgql.exe',''); DeleteFile('c:\windows\system32\winkgql.exe'); DeleteFile('C:\WINDOWS\iesup.dll'); DeleteFile('C:\WINDOWS\system32\Winkcio.exe'); DeleteFile('C:\WINDOWS\extctrl.dll'); DeleteFile('C:\WINDOWS\vsmart.dll'); DeleteFile('C:\WINDOWS\netsup.dll'); BC_QrSvc('Winkcio'); BC_DeleteSvc('Winkcio'); BC_DeleteSvc('Winkgql'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
Файл сохранён как 070814_144855_virus_46c188ae55343.zip
Размер файла 298200
MD5 7a054392f41168af452a941e21f28890
Скинул карантин
C:\WINDOWS\netsup.dll
C:\WINDOWS\extctrl.dll
C:\WINDOWS\iesup.dll
C:\WINDOWS\vsmart.dll
Всё это - not-a-virus:AdWare.Win32.Agent.bn
их мы удалили.
Другие вкусности не попали в каратин,повторите логи
Новые логи
Последний раз редактировалось Kostik_yo; 18.11.2007 в 13:01.
Отключите восстановление системы,как сказано в правилах!
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\WINDOWS\system32\Winkvx.exe'); BC_QrFile('c:\windows\system32\winkqfq.exe'); BC_DeleteFile('c:\windows\system32\winkqfq.exe'); BC_DeleteFile('C:\WINDOWS\system32\Winkvx.exe'); BC_QrSvc('Winkvx'); BC_DeleteSvc('Winkvx'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
повторите логиКод:R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O2 - BHO: (no name) - {23649336-4FC4-411C-84EE-6A2B51CE5E23} - (no file) O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) Unknown O22 - SharedTaskScheduler: App reset - {A25849C4-93F3-429D-FF34-260A2068897C} - (no file) O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
Вот логи
Карантин отправил
Файл сохранён как 070815_072805_virus_46c272dc0e563.zip
Размер файла 670261
MD5 57e55fb1c6c0438b3aaec403549d99f7
Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.
Надо еще кое-что проверить. Выполните скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\SetupNT.sys',''); QuarantineFile('C:\WINDOWS\ZSSnp211.exe',''); QuarantineFile('C:\WINDOWS\system32\odbc.exe',''); QuarantineFile('C:\WINDOWS\Domino.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Скрипт выполнил карантин отправил и на всякий случай логи, вируса уже не видно!!!
Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.
Карантин:
Файл сохранён как 070816_060507_virus_46c3b0ea1665d.zip
Размер файла 936655
MD5 2c54be69036218163116aa372c630016
C:\WINDOWS\system32\odbc.exe - Trojan.Win32.Agent.ye
остальные должны быть чистые,после ответа ЛК узнаем 100%
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\odbc.exe'); BC_QrFile('C:\WINDOWS\system32\Winkgwl.exe'); BC_DeleteFile('c:\windows\system32\odbc.exe'); BC_DeleteFile('C:\WINDOWS\system32\Winkgwl.exe'); BC_DeleteSvc('ODBC service'); BC_DeleteSvc('Winkgwl'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если файл Winkgwl.exe попадёт в карантин то пришлите его согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650
повторите логи.
скритп выполнил. Winkgwl.exe попал к карантин. Прислать не смог пишет: Результат загрузки
Unknown error. File not uploaded
логи прислал
Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.
Оставшиеся файлы с прошлого карантина чистые,последний карантин попробуйте отправить снова,если не получиться то поместите на файловый обменик(например http://zalil.ru) и ссылку скажите мне.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Winkxj.exe'); BC_DeleteFile('C:\WINDOWS\system32\Winkxj.exe'); BC_DeleteSvc('Winkxj'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
После выполнения скрипта и проверки фаил Winkgwl.exe исчез из карантина
Вот логи
Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.
пришлите последний карантин,пока не работает форма загрузки воспользуйтесь файловым обмеником http://zalil.ru
очистите папку C:\WINDOWS\Temp\
http://www.viruslist.com/ru/viruses/...?virusid=22466
в конце по ссылке есть рекомендация по лечению,выполните её и потом повторите логи.
PS.вы базы касперского обновляли?
Последний раз редактировалось Muzzle; 17.08.2007 в 03:23.
Выполнил всё, что написано.
Карантин: http://file.uz/files/0ceaed13ed77b59...4143/virus.zip
вот логи
Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.
Все эти постоянно сменяющие друг друга wink*.exe - давно известный почтовый червь I-Worm.Klez.h, об этом и в логе AVZ написано. Удалите WinAntivirus Pro 2007, это не антивирус, а профанация. Установите нормальный антивирус, обновите ему базы и сделайте полную проверку в безопасном режиме.
I am not young enough to know everything...
Уважаемый(ая) Kostik_yo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.