Показано с 1 по 14 из 14.

Антивирус блокируется вирусом (заявка № 20263)

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59

    Thumbs up Антивирус блокируется вирусом

    Началось с того, что не смог загрузиться AVK. Переустановить не удалось, установить DrWeb и запустить AVZ тоже не удалось.
    DrWebCureIt запустился только в защищенном режиме (вообще-то, вирусов набралось немало), информацию удалось собрать тоже только в защищенном режиме
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dls76', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Dls76.sys');
     BC_DeleteSvc('Dls76');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Dls76.sys');
     BC_Activate;
     RebootWindows(true); 
    end.
    После перезагрузки еще один:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\update.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\xprot.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Dls76.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\mp3res.dll','');
     QuarantineFile('C:\WINDOWS\system32\.0023c522\0023c522.exe','');
     DeleteFile('C:\WINDOWS\system32\.0023c522\0023c522.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Dls76.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\update.exe');
    DeleteFile('C:\WINDOWS\system32\.0023c522\0023c522.core.dll');
    BC_ImportALL;
    BC_QrSvc('FCI');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Dls76');
    BC_DeleteSvc('runtime2');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=20263).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59
    Карантин загрузил

    И еще. После перезагрузки компьютера (в безопасном режиме) AVZ загружается только после запуска CureIt (быстрая проверка). Пишет: Cannot open file extract.avz. И открывает кучу окон: Access vioalation ...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: mp3res - C:\WINDOWS\SYSTEM32\mp3res.dll
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    O21 - SSODL: 244206 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r817w32.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\mp3res.dll');
     DeleteFile('C:\WINDOWS\system32\xprot.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('xprot');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи в нормальном режиме.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59
    Сделал
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\Documents and Settings\Ольга\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ipx10.sys','');
     QuarantineFile('C:\WINDOWS\system32\msvcrtdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\IMM32.DLL','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ipx10.sys');
     DeleteFile('C:\Documents and Settings\Ольга\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Ipx10');
    ExecuteSysClean;
    DelWinlogonNotifyByKeyname( 'mp3res');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59
    Карантин выслал

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    По карантину подождем ответа вирлаба.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59
    Похоже все заработало. Касперского поставил, проверяю на вирусы
    Непонятно только, что же ответил вирлаб

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    По первому карантину ответили 0023c522.core.dll - not-a-virus:AdWare.Win32.Virtumonde.ktp, 0023c522.exe - Trojan.Win32.Inject.aed, mp3res.dll - Trojan-Spy.Win32.Goldun.aan, WLCtrl32.dll - Trojan-Downloader.Win32.Agent.luo, xprot.sys - Backdoor.Win32.Agent.fpj, Dls76.sys - Trojan-Downloader.Win32.Agent.lxa по поводу второго карантина ещё не ответили.
    Последний раз редактировалось wise-wistful; 22.03.2008 в 22:58.

  12. #11
    Junior Member Репутация
    Регистрация
    22.03.2008
    Адрес
    Москва
    Сообщений
    6
    Вес репутации
    59
    Ребята, всем огромное спасибо!
    Все работает, хотя AVK намёл по углам ещё 3 вируса
    Сейчас запущу его еще раз

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Ну на то он и антивирус, что бы мусор выметать.

    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить наш сервис.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Чтобы в будущем подобных зверей не ловить и уменьшить вероятность заражения следует в инете пользоваться акaунтом ограниченного пользователя , браузер :firefox+noscript

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\dls76.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037)
      2. c:\\windows\\system32\\mp3res.dll - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136)
      3. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037)
      4. c:\\windows\\system32\\.0023c522\\0023c522.core.dl l - not-a-virus:AdWare.Win32.Virtumonde.ktp (DrWEB: Trojan.Virtumod.based.14)
      5. c:\\windows\\system32\\.0023c522\\0023c522.exe - Trojan.Win32.Inject.aed (DrWEB: Trojan.Virtumod.based.14)
      6. \\2008-03-22\\bcqr00008.dta - Backdoor.Win32.Agent.fpj (DrWEB: Trojan.NtRootKit.919)
      7. \\2008-03-22\\bcqr00009.dta - Backdoor.Win32.Agent.fpj (DrWEB: Trojan.NtRootKit.919)
      8. \\2008-03-22\\bcqr00014.dta - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136)
      9. \\2008-03-22\\bcqr00015.dta - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136)


  • Уважаемый(ая) eshi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.04.2012, 12:41
    2. Блокируется антивирус.
      От V1NT в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.02.2011, 00:10
    3. Антивирус ХР оказался вирусом :(
      От TYP в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 10:04
    4. Блокируется антивирус
      От Jerri в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.05.2007, 11:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00940 seconds with 18 queries