Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

вирус (заявка № 15989)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38

    Thumbs up вирус

    В стандартном режиме комп перезагружается, сделал в безопасном.
    Последний раз редактировалось vve; 12.01.2008 в 12:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
     QuarantineFile('C:\WINDOWS\system32\oriieke7a136a3e.sys','');
     QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
     QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
     DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
     DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15989

    Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com

  4. #3
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com
    Карантин загружен.
    Что за hots-файл? никуда ничего не добавлял.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
    попробуйте сделать логи в обычном режиме.

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
    попробуйте сделать логи в обычном режиме.
    В стандартном режиме так и не выполняются стандартные скрипты, комп перезагружается, что делать?

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    C:\WINDOWS\system32\oriieke7a136a3e.sys - вирус Email-Worm.Win32.Zhelatin.qb
    C:\WINDOWS\mrofinu27.exe - троянская программа Trojan-Downloader.Win32.Agent.gwh

    Выполните в АВЗ ...

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('C:\WINDOWS\system32\oriieke7a136a3e.sys');
     DeleteFile('C:\WINDOWS\mrofinu27.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    Профиксите ..

    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Электротех& #1085;ика\Application Data\Mra\Update\mrasearch.dll
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    Последний раз редактировалось wise-wistful; 05.01.2008 в 14:24.

  8. #7
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Скрипт выполнил, пофиксил, эти 4 строчки исчезли, но опять при выполнении стандартного скрипта в авз комп перезагружается

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    отключите аутпост и антивирус ... и сделайте новые логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    отключите аутпост и антивирус ... и сделайте новые логи ...
    сделал
    Последний раз редактировалось vve; 12.01.2008 в 12:40.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    отключите аутпост и антивирус
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
     RebootWindows(true); 
    end.
    затем еще один ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Taf40');
    BC_DeleteSvc('ip6fw');
    BC_DeleteSvc('Lvst79');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ..

  12. #11
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Все сделал
    Последний раз редактировалось vve; 12.01.2008 в 12:40.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    все на месте ... попробуйте выполнить скрипт в safe mode ....

  14. #13
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    отключите аутпост и антивирус
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
     RebootWindows(true); 
    end.
    затем еще один ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Taf40');
    BC_DeleteSvc('ip6fw');
    BC_DeleteSvc('Lvst79');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ..
    эти два?

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да попробуйте оба и потом повторите логи.

  16. #15
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    сделал
    Последний раз редактировалось vve; 12.01.2008 в 12:40.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    уже чище ...
    пришлите свежий карантин ....

  18. #17
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    уже чище ...
    пришлите свежий карантин ....
    сохранил

  19. #18
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    142
    Вес репутации
    38
    кто-нибудь из helper'ов смотрел карантин?

  20. #19
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    выполните в АВЗ

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     DeleteFile('C:\WINDOWS\taskmon.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    загрузите карантин по правилам.

    профиксите ...

    Код:
    O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Похоже Trojan.Patched.AU (BitDefender)

    svchost.exe не прошел по базе безопасных

    Добавлено через 1 минуту

    У вас есть установочный диск? (переустанавливать ничего не надо!)
    Последний раз редактировалось akoK; 09.01.2008 в 13:10. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  • Уважаемый(ая) vve, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00593 seconds with 15 queries