-
Обезвреживание вируса
Нужна помощь для локализации и удаления вируса.
Симптомы:
1. Переименование выполняемых во время загрузки файлов (приложения, которые висят в трее);
2. при каждой загрузке появляется по 500 файлов в корне загрузочного диска и в "Моих документах", удалить данные файлы не удается;
3. Появляется в трее сообщение о критической ошибке;
4. При загрузке появляются окна с ошибками windows.
Что предпринималось:
1. проверка nod32;
2. проверка AVG;
3. проверка MCCAFE.
В приложении необходимая информация для анализа.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\axxtvixm.dll','');
QuarantineFile('C:\WINDOWS\system32\mllji.dll','');
QuarantineFile('C:\WINDOWS\system32\tuvtrsp.dll','');
QuarantineFile('C:\WINDOWS\system32\mllji.exe','');
QuarantineFile('C:\WINDOWS\system32\dnunpung.dll','');
QuarantineFile('C:\WINDOWS\system32\eqnmhwci.exe','');
QuarantineFile('C:\WINDOWS\system32\fcoxlylt.dll','');
DeleteFile('C:\WINDOWS\system32\fcoxlylt.dll');
DeleteFile('C:\WINDOWS\system32\eqnmhwci.exe');
DeleteFile('C:\WINDOWS\system32\dnunpung.dll');
DeleteFile('C:\WINDOWS\system32\mllji.exe');
DeleteFile('C:\WINDOWS\system32\tuvtrsp.dll');
DeleteFile('C:\WINDOWS\system32\mllji.dll');
DeleteFile('C:\WINDOWS\system32\axxtvixm.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{e97b1b73-c645-40dc-b7c9-fe5e4cc62c49}');
DelBHO('{D4576C73-52BD-4401-B966-5A128C4433D4}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{4C010681-FFEC-4322-AE17-D145E0770186}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16466).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Мега Оперативно!!!
Спасибо, вроде полечилось.
-
I am not young enough to know everything...
-
-
Карантин приложил, логи делаю.
-
логи
Вот результат новой проверки.
-
Нормально, только много следов в реестре пооставалось...
Пофиксите в HijackThis:
Код:
F3 - REG:win.ini: run=
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\fcoxlylt.dll (file missing)
O20 - Winlogon Notify: fcoxlylt - fcoxlylt.dll (file missing)
O20 - Winlogon Notify: tuvtrsp - tuvtrsp.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
-
все чисто ..
авз - Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
что ... из этого используется ... лишнее лучше отключить ..
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
-
-
В логах чисто, осталось кое-что подправить.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Что из этого нужно (лишнее отключим)?
Код:
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
-
-
Ок
кстати, было уже нажато
-
Не понял, Вы делали фиксы в мастере поиска проблем?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\fcoxlylt.dll - not-a-virus:AdWare.Win32.Virtumonde.dnn (DrWEB: Trojan.Virtumod.260)
-