Помогите пожалуйста побороть заразу.
Админских прав нет. В свойства не пускает.
Логи приатачил. Если есть вопросы сразу же отвечу.
Помогите пожалуйста побороть заразу.
Админских прав нет. В свойства не пускает.
Логи приатачил. Если есть вопросы сразу же отвечу.
да уж, нахватались а 2 пункт делали ?
насчёт админских прав, AVZ же клянётся что под админом запускался- неувязочка
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\WINZIP\wzusr90.exe',''); QuarantineFile('C:\WINDOWS\2k3_USR.EXE',''); QuarantineFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\system32\printer.exe',''); QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe',''); QuarantineFile('c:\windows\System32\drivers\BlackDrv.sys',''); QuarantineFile('c:\windows\system32\drivers\mvfs50.sys',''); QuarantineFile('C:\WINDOWS\shell.exe',''); QuarantineFile('C:\Program Files\ofiiousq\vuoqsioi.dll',''); QuarantineFile('c:\windows\shell.exe',''); QuarantineFile('C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\launchAP.exe',''); QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll',''); QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe',''); QuarantineFile('C:\TEMP\1632.exe',''); QuarantineFile('C:\TEMP\16agent.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15098
P.S.Скрипт не лечит, только копирует нужные нам файлы для исследований
Последний раз редактировалось drongo; 10.12.2007 в 22:00.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Странно, при попытке запуска панели управления или свойств экрана компьютер пишет что нехватает прав. Вот я и подумал что слетели админские права.
карантин закачал.
Спасибо за ответ
autorun.exe, spoolvs.exe, printer.exe, shell.exe - Trojan-Downloader.Win32.Agent.eus
1632.exe, 16agent.exe - Trojan-Downloader.Win32.Alphabet.gen
vuoqsioi.dll - not-a-virus:AdWare.Win32.Agent.wk
Добавлено через 11 минут
Пофиксите в HijackThis:
Сразу же после фикса выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: (no name) - {2F02D978-0FF6-80F7-60BB-0426224AB7B3} - C:\Program Files\ofiiousq\vuoqsioi.dll O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe O4 - Global Startup: autorun.exe O20 - Winlogon Notify: ccnotify - C:\Program Files\Rational\bin\ccnotify.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\ofiiousq\vuoqsioi.dll'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Очистите папку C:\TEMP.
Обновите базы AVZ и сделайте новые логи.
Последний раз редактировалось Bratez; 11.12.2007 в 02:44. Причина: Добавлено
I am not young enough to know everything...
Новые логи приатачил.
Спасибо за помощь.
Нда, обновление баз AVZ тут помогло больше чем скрипт
Пофиксите в HijackThis:
Выполните скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
Логи придется еще раз сделать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('D:\Users\aas202\Application Data\trant.exe'); DeleteFile('D:\Users\aas202\Application Data\spyguard.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); ExecuteRepair(16); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Скрипт не запускается с этой строчкой
ExecuteSysClean;
Пишет ' Invalid data type for " '
Если ее удалить то все работает. Логи в процессе.
Новые логи в атаче...
Ну вот теперь почти чисто.
На всякий случай проверим еще пару файлов.
Выполните такой скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; QuarantineFile('L:\autorun.inf',''); QuarantineFile('C:\Program Files\E404 Helper\e404.v5.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
в карантине ничего нету
Вот как? Тогда ищите вручную через AVZ - Сервис - Поиск файлов на диске.
Если L: это CD/DVD или виртуальник, тогда autorun не надо.
e404.v5.dll - этот существует 100%.
I am not young enough to know everything...
диск L виртуальный.
e404.v5.dll нашелся.
Выполнил еще раз скрипт.
Вот карантин
Файл сохранён как 071211_065227_virus_475e880b5e57c.zip
Размер файла 14627
MD5 5ede089d6f0cbbac7ecaed62fa9bf0b6
Свежее adware...
Выполните такой скрипт:
и пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll'); BC_DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Для контроля сделайте логи, начиная с п.10 правил.Код:O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\E404 Helper\e404.v5.dll
I am not young enough to know everything...
приаттачил
e404.v5.dll - not-a-virus:AdWare.Win32.Agent.xi
Теперь порядок.
Вот эти подозрения AVZ:
скорее всего ложные, хотя не помешает проверить эти файлы на www.virustotal.com.Код:C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960) C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768) C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
Больше ничего плохого нет.
I am not young enough to know everything...
[quote=Bratez;159595]
Пришлите их нам по пункту 2 правил, надёжнееКод:C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960) C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768) C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
кстати, ссылка на cureit жива, только там по протоколу ftp.
Возможно у вас перекрыто, спросите местного админа
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все вроде починили. Спасибо всем огромнейшее
не забудте под ограниченным юзером работать по умолчанию, а то опять что нибудь схватите а и в интернет через firefox+ noscript.
А вы поставили нам5 сегодня?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) aas202, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.