Показано с 1 по 16 из 16.

Worm.P2P.generic (заявка № 12677)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61

    Exclamation Worm.P2P.generic

    Заразился Worm.P2P.generic через флэшку. Ваш сайт обещал помочь.
    AVZ обнаруживает файлы автозапуска вируса: высокая степень вероятности. Но проблема не решается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\WINDOWS\system32\vmguwlgiv.exe','');
     QuarantineFile('E:\WINDOWS\system32\sfawbfett.exe','');
     QuarantineFile('E:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('E:\WINDOWS\system32\isiyemzbq.exe','');
     QuarantineFile('E:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('E:\WINDOWS\csrss.exe','');
     DeleteFile('E:\WINDOWS\csrss.exe');
     DeleteFile('E:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('E:\WINDOWS\system32\isiyemzbq.exe');
     DeleteFile('E:\WINDOWS\system32\itunesff.exe');
    DeleteFile('C:\autorun.inf');
    DeleteFile('D:\autorun.inf');
    DeleteFile('E:\autorun.inf');
    DeleteFile('G:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите все содержимое карантина согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чистить надо все, что вставлялось в этот компьютер (флешки, от фотоаппарата).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61
    Отправил Вам содержимое карантина, и я и вирус устали ждать ответ.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Backdoor.Win32.Rbot.cqi, Packed.Win32.PolyCrypt.d - то, что попало в карантин, должно было удалиться скриптом.

    Делайте повторные логи. Будем смотреть, что осталось.
    И вообще вирус себя как проявляет?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61

    Лечим от Worm.P2P.generic

    Высылаю логи повторно.
    Как себя проявляет вирус:
    1 - тормозит всё, особенно Касперского;
    2 - прописывается во всех разделах жесткого диска, а так же в любых внешних съемных ЗУ, удалять бесполезно;
    3 - в диспетчере задач Windows загружает ЦП до 50%, а если завершить этот процесс, то компьютер сразу оживает, но ненадолго.
    И еще: эта зараза не цепляется на Windows-98.
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Отключиться от сети,Интернета. Отключить флешки, телефоны, плеера.
    Выполнять в Safe Mode:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteFile('E:\WINDOWS\system32\sfawbfett.exe');
     BC_DeleteFile('E:\WINDOWS\system32\vmguwlgiv.exe');
     DeleteFile('E:\WINDOWS\system32\sfawbfett.exe');
     DeleteFile('E:\WINDOWS\system32\vmguwlgiv.exe');
    DelCLSID('33331111-1111-1111-1111-611111193423');
    DelCLSID('33331111-1111-1111-1111-611111193429');
    DelCLSID('33331111-1111-1111-1111-611111193427');
    DelCLSID('33331111-1111-1111-1111-611111193428');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин по ссылке +
    новые логи сюда.

    Добавлено через 4 минуты

    E:\WINDOWS\system32\sfawbfett.exe Backdoor.Win32.Rbot.cqi (по Касперскому)
    Последний раз редактировалось PavelA; 27.09.2007 в 17:50. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61
    По-моему ничего не изменилось (в лучшую сторону!).
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('E:\WINDOWS\ALCMTR.EXE','');
     QuarantineFile('E:\WINDOWS\system32\drivers\sf.sys','');
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\Temp\winlogon.exe','');
     QuarantineFile('E:\WINDOWS\system32\drivers\wdmaud.sys','');
     QuarantineFile('E:\WINDOWS\system32\mumwrdqlt.exe','');
    DeleteFile('C:\Temp\winlogon.exe');
    DeleteFile('C:\autorun.inf');
    DeleteFile('D:\autorun.inf');
    DeleteFile('E:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12677

    3.http://virusinfo.info/showpost.php?p=102984&postcount=1

    4. Скачать последнею версию антивируса касперского, у вас старая.
    Удалить старую версию и также можно trojan-shield- он лишний.
    Последний раз редактировалось drongo; 28.09.2007 в 12:12.

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61
    Опять ничего не получается. Все сделал до пункта 3. Дальше по ссылке: http://virusinfo.info/showpost.php?p=102984&postcount=1. Но в Проводнике, несмотря на то, что открывал содержимое жестких дисков левой кнопкой мыши, autorun после удаления снова появляется тут же. Жду дальнейших указаний.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните п.4 из совета drongo, только не забудьте потом обновить базы антивируса. Когда он прибъет активный процесс зловреда, выполните процедуру по вышеуказанной ссылке, и у вас все получится.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61
    Если бы у меня была возможность бесплатно установить нового Касперского, то к вам бы я не обращался. А обратился я к вам потому, что на форуме Касперского ваш сайт пообещал решить мою проблему БЕСПЛАТНО (там была такая ссылка). Ну и чего тогда стоит ваш совет обновить Касперского, и чего тогда вообще стоит ваш сайт? Обещали - выполняйте, а,если не можете, то и не давайте ссылок или хотя бы признайте, что в данном случае вы просто не можете помочь. И потом, работайте со мной кто-нибудь один, а то не поймешь, кто у вас там чем занимается и за что отвечает. Извините за резкий тон, но меня уже просто достал этот вирус!

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    триалом касперского можно пользоваться совершенно бесплатно 30 дней ... вам этого хватит ...

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2007
    Адрес
    Тула
    Сообщений
    7
    Вес репутации
    61
    Я, конечно попробую с триал-версией, но, как я уже говорил раньше, компьютер тормозит со страшной силой. Каждый лог, который я высылал, снимался более часа (а их по два за каждый запрос). Интернет так же тормозит. Закачать что-либо просто пытка!

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вам советуют только избавиться от вируса при помощи Касперского. Затем совершенно спокойно можно его деинсталлировать и жить без тормозов. Возможно, нужно просто настроить Касперского чтобы уменьшить тормоза.

    Уточним: что такое диск "D","E"? если один из них ни жесткий, то лечимся не подключая данное устройство. На время лечения полезно будет отключиться от локальной сети, если она есть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temp\\winlogon.exe - Virus.Win32.Grum.a (DrWEB: Win32.Grum)
      2. e:\\windows\\csrss.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)
      3. e:\\windows\\system32\\mumwrdqlt.exe - Backdoor.Win32.Rbot.cqi (DrWEB: BackDoor.IRC.Sdbot.1766)
      4. e:\\windows\\system32\\sfawbfett.exe - Backdoor.Win32.Rbot.cqi (DrWEB: BackDoor.IRC.Sdbot.1766)


  • Уважаемый(ая) Radiomag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Worm.Win32.Generic И Trojan.Win32.Generic (заявка №42923)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 29.12.2010, 00:00
    2. PDM.Worm.P2P.generic
      От KOPERATOR в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.09.2009, 13:52
    3. services.exe WORM.GENERIC!!!
      От Dream в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:46
    4. I-Worm/Generic.Z
      От Nil_s в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:50
    5. Вирус i-worm generic.cll
      От striker2009 в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 11.02.2009, 16:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01489 seconds with 17 queries