Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 50.

Помогите излечить вирус (заявка № 14190)

  1. #1
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60

    Exclamation Помогите излечить вирус

    Юзверь обратился ко мне с вопросом что система виснет! Я прогнал нодом там оказалось несколько троянов, которые были удалены! Но передо мной он (юзер) успел еще кучу файлов поудалять! Короче остался один "C:\WINDOWS\ieupdr.exe - модифицированный Win32/TrojanDownloader.Tiny.NJ троян" и в системном трее не отовражаются значки локалки и USB (при подключении флешки)!
    Подскажите как вылечить и что сделать для реанимирования системы?
    Переустанавливать очень нежелательно! С помощью AVZ сделал исследование системы - результат в приложенном файле!
    Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    1.В avz выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('%WinDir%\Temp\startdrv.exe','');
     QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
     QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
     QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
     DeleteFile('%Windir%\Temp\startdrv.exe');
     DeleteFile('%Windir%\system32\drivers\runtime2.sys');
     DeleteFile('%Windir%\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
     QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
     QuarantineFile('sysfldr.dll','');
     QuarantineFile('C:\temp\winlogan.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
     QuarantineFile('Tba14.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\temp\winlogan.exe');
     DeleteFile('sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
     DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
     DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    1.В avz выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('%WinDir%\Temp\startdrv.exe','');
     QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
     QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
     QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
     DeleteFile('%Windir%\Temp\startdrv.exe');
     DeleteFile('%Windir%\system32\drivers\runtime2.sys');
     DeleteFile('%Windir%\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
     QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
     QuarantineFile('sysfldr.dll','');
     QuarantineFile('C:\temp\winlogan.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
     QuarantineFile('Tba14.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\temp\winlogan.exe');
     DeleteFile('sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
     DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
     DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил
    пока я бегал юзер успел воспользоваться адваре и часть поудалять!
    Да, и к выше перечисленным проблемам еще и переключатель языков только с клавиатуры неработает!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    После выполнения скрипта выполните полную проверку CureIt и повторите логи по правилам

  6. #5
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    После выполнения скрипта выполните полную проверку CureIt и повторите логи по правилам
    какие логи: CureIt или AVZ?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Логи AVZ + лог hijackThis
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Вот, наконец все сделал, шлю логи!
    Да, CureIt нашел несколько файлов, я нажимал лечить, но он их удалил, поэтому шлю и его лог!
    Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите...
    Код:
    O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
    DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
    DelCLSID('C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделайте новые логи...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    F2 - REG:system.ini: UserInit=userinit.exe, -- надо профикстить в hijackthis
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Профиксил, применил скрипт, а система все равно если сетевой кабель подключен - виснет. Отключаю сетевой кабель, перезапускаю (жестко) - запускается, а затем только кабель подключаю! Короче, пока что ничего не получилось! Повторить все занового и опять вам логи прислать?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Да, пришлите логи...

  13. #12
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Вот новые логи
    Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  15. #14
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    А я так и непонял, в каком режиме надо логи сделать?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В защищеннном (safe mode)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    готово
    Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('system32\DRIVERS\Arp1349.sys','');
     QuarantineFile('Arp1349.sys','');
     BC_QrSvc('Arp1349');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  19. #18
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    закачал

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Trojan-Proxy.Win32.Agent.nu C:\WINDOWS\system32\DRIVERS\Arp1349.sys

  21. #20
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    63
    Вес репутации
    60
    И что сделать надо?

  • Уважаемый(ая) dimon8033, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. ВИРУС НЕ ИЗЛЕЧИМ 100%
      От ADI0SS в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.09.2011, 08:52
    2. Помогите излечить updpxe32.exe
      От sshah в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.08.2010, 16:30
    3. AhnRpta.exe - помогите излечиться
      От johnnie в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 05.03.2010, 21:42
    4. Помогите излечиться
      От smoky74rus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.12.2009, 12:03
    5. Помогите излечить вирус
      От john&sam в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.07.2008, 11:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00206 seconds with 17 queries