Заразился Worm.P2P.generic через флэшку. Ваш сайт обещал помочь.
AVZ обнаруживает файлы автозапуска вируса: высокая степень вероятности. Но проблема не решается.
Заразился Worm.P2P.generic через флэшку. Ваш сайт обещал помочь.
AVZ обнаруживает файлы автозапуска вируса: высокая степень вероятности. Но проблема не решается.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\vmguwlgiv.exe',''); QuarantineFile('E:\WINDOWS\system32\sfawbfett.exe',''); QuarantineFile('E:\WINDOWS\system32\itunesff.exe',''); QuarantineFile('E:\WINDOWS\system32\isiyemzbq.exe',''); QuarantineFile('E:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('E:\WINDOWS\csrss.exe',''); DeleteFile('E:\WINDOWS\csrss.exe'); DeleteFile('E:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('E:\WINDOWS\system32\isiyemzbq.exe'); DeleteFile('E:\WINDOWS\system32\itunesff.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('G:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите все содержимое карантина согласно приложению 3 правил.
I am not young enough to know everything...
Чистить надо все, что вставлялось в этот компьютер (флешки, от фотоаппарата).
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отправил Вам содержимое карантина, и я и вирус устали ждать ответ.
Backdoor.Win32.Rbot.cqi, Packed.Win32.PolyCrypt.d - то, что попало в карантин, должно было удалиться скриптом.
Делайте повторные логи. Будем смотреть, что осталось.
И вообще вирус себя как проявляет?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Высылаю логи повторно.
Как себя проявляет вирус:
1 - тормозит всё, особенно Касперского;
2 - прописывается во всех разделах жесткого диска, а так же в любых внешних съемных ЗУ, удалять бесполезно;
3 - в диспетчере задач Windows загружает ЦП до 50%, а если завершить этот процесс, то компьютер сразу оживает, но ненадолго.
И еще: эта зараза не цепляется на Windows-98.
Отключиться от сети,Интернета. Отключить флешки, телефоны, плеера.
Выполнять в Safe Mode:
После перезагрузки загрузить карантин по ссылке +Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('E:\WINDOWS\system32\sfawbfett.exe'); BC_DeleteFile('E:\WINDOWS\system32\vmguwlgiv.exe'); DeleteFile('E:\WINDOWS\system32\sfawbfett.exe'); DeleteFile('E:\WINDOWS\system32\vmguwlgiv.exe'); DelCLSID('33331111-1111-1111-1111-611111193423'); DelCLSID('33331111-1111-1111-1111-611111193429'); DelCLSID('33331111-1111-1111-1111-611111193427'); DelCLSID('33331111-1111-1111-1111-611111193428'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
новые логи сюда.
Добавлено через 4 минуты
E:\WINDOWS\system32\sfawbfett.exe Backdoor.Win32.Rbot.cqi (по Касперскому)
Последний раз редактировалось PavelA; 27.09.2007 в 17:50. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
По-моему ничего не изменилось (в лучшую сторону!).
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} -Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\ALCMTR.EXE',''); QuarantineFile('E:\WINDOWS\system32\drivers\sf.sys',''); QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\Temp\winlogon.exe',''); QuarantineFile('E:\WINDOWS\system32\drivers\wdmaud.sys',''); QuarantineFile('E:\WINDOWS\system32\mumwrdqlt.exe',''); DeleteFile('C:\Temp\winlogon.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12677
3.http://virusinfo.info/showpost.php?p=102984&postcount=1
4. Скачать последнею версию антивируса касперского, у вас старая.
Удалить старую версию и также можно trojan-shield- он лишний.
Последний раз редактировалось drongo; 28.09.2007 в 12:12.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Опять ничего не получается. Все сделал до пункта 3. Дальше по ссылке: http://virusinfo.info/showpost.php?p=102984&postcount=1. Но в Проводнике, несмотря на то, что открывал содержимое жестких дисков левой кнопкой мыши, autorun после удаления снова появляется тут же. Жду дальнейших указаний.
Выполните п.4 из совета drongo, только не забудьте потом обновить базы антивируса. Когда он прибъет активный процесс зловреда, выполните процедуру по вышеуказанной ссылке, и у вас все получится.
I am not young enough to know everything...
Если бы у меня была возможность бесплатно установить нового Касперского, то к вам бы я не обращался. А обратился я к вам потому, что на форуме Касперского ваш сайт пообещал решить мою проблему БЕСПЛАТНО (там была такая ссылка). Ну и чего тогда стоит ваш совет обновить Касперского, и чего тогда вообще стоит ваш сайт? Обещали - выполняйте, а,если не можете, то и не давайте ссылок или хотя бы признайте, что в данном случае вы просто не можете помочь. И потом, работайте со мной кто-нибудь один, а то не поймешь, кто у вас там чем занимается и за что отвечает. Извините за резкий тон, но меня уже просто достал этот вирус!
триалом касперского можно пользоваться совершенно бесплатно 30 дней ... вам этого хватит ...
Я, конечно попробую с триал-версией, но, как я уже говорил раньше, компьютер тормозит со страшной силой. Каждый лог, который я высылал, снимался более часа (а их по два за каждый запрос). Интернет так же тормозит. Закачать что-либо просто пытка!
Вам советуют только избавиться от вируса при помощи Касперского. Затем совершенно спокойно можно его деинсталлировать и жить без тормозов. Возможно, нужно просто настроить Касперского чтобы уменьшить тормоза.
Уточним: что такое диск "D","E"? если один из них ни жесткий, то лечимся не подключая данное устройство. На время лечения полезно будет отключиться от локальной сети, если она есть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\winlogon.exe - Virus.Win32.Grum.a (DrWEB: Win32.Grum)
- e:\\windows\\csrss.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)
- e:\\windows\\system32\\mumwrdqlt.exe - Backdoor.Win32.Rbot.cqi (DrWEB: BackDoor.IRC.Sdbot.1766)
- e:\\windows\\system32\\sfawbfett.exe - Backdoor.Win32.Rbot.cqi (DrWEB: BackDoor.IRC.Sdbot.1766)
Уважаемый(ая) Radiomag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.