Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Ну удается полностью вирус (заявка № 23449)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39

    Question Ну удается полностью вирус

    Здравствуйте!
    Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
    Последний раз редактировалось aqua; 28.05.2008 в 12:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Многовато накопилось. Может Доктор у Вас старой версии?

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\E8AFA062.exe','');
     QuarantineFile('C:\58B0156C.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\сsrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
     QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
     QuarantineFile('C:\WINDOWS\system32\mms32swasw.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
     QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     SetServiceStart('Google Online Services', 4);
     StopService('Google Online Services');
     QuarantineFile('c:\windows\system32\yrinuhkp.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe','');
     QuarantineFile('c:\windows\system32\shovth.exe','');
     QuarantineFile('c:\documents and settings\winxp\ie_updates3r.exe','');
     DeleteFile('c:\documents and settings\winxp\ie_updates3r.exe');
     DeleteFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe');
     DeleteFile('c:\windows\system32\yrinuhkp.exe');
     DeleteFile('C:\WINDOWS\pxgdslro.dll');
     DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('C:\WINDOWS\system32\mms32swasw.dll');
     DeleteFile('C:\WINDOWS\system32\winsn.exe');
     DeleteFile('C:\WINDOWS\system32\winsos.exe');
     DeleteFile('C:\WINDOWS\system32\сsrss.exe');
     DeleteFile('C:\58B0156C.exe');
     DeleteFile('D:\E8AFA062.exe');
    DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
     DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин, сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Да нет, лицензия и свежие базы. Сам в шоке ((

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Я скрипт написал, см. выше.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Карантин выслал. Сам комп не перезагрузился, пришлось резетнуть. После перезагрузки диски не открываются, тапа выбирете программу, хотя через Пуск Выполнить Обзор нормально работает.
    Последний раз редактировалось aqua; 28.05.2008 в 12:40.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Выполни след. скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\dnserv.dll','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Пришли карантин. На предыдущий подождем ответа аналитиков.
    На всякий случай приготовься использовать Winsockxpfix.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Карантин выслал. Ок ждем.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    'C:\WINDOWS\System32\dnserv.dll' - Trojan-PSW.Win32.Agent.aks по Касперскому.

    Пароли, скорее всего, ушли на сторону.
    Напишу скрипт для удаления этой гадости. До него надо записать настройки сети,
    После него пропадет Инет и надо прогнать winsockspfix и заново настроить сетку.

    Добавлено через 1 минуту

    Вот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\dnserv.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 26.05.2008 в 17:33. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Так, после скрипта комп не грузится, Windows ругается типа "Сбой удаленный вызов процедур RPC" и дает отсчет времени до перезагрузки.....
    В безопасном режиме аналогичная ситуация.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Значит, надо делать возврат к последней успешной конфигурации.
    Это очень печально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Удалось загрузится. На рабочем столе пусто, три волшебные клавиши работают. Что делать дальше????

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Пилюля №5 из "Восст. системы" в AVZ должна помочь с рабочим столом.
    После этого делать новые логи, будем смотреть что получилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Локальная загрузка профиля приводит к перезагрузке с отсчетом времени.
    Удалось подключится через удаленный рабочий стол, профиль грузится с кучей ошибок, все интернет приложения, при выходе в интернет падают в корку. Вот прилагаю логи которое удалось сделать.
    З.Ы. Восстановление системы №5 пока не делал.
    З.Ы.Ы. Сейчас пока комп включен сожрало все место свободное на диске С:
    Последний раз редактировалось aqua; 28.05.2008 в 12:40.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Winsockxpfix применял? Очень похоже что нет.

    Есть вероятность того, что повредился профиль.
    Еще и звери остались
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
     QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\ezwfivsx.exe','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\ezwfivsx.exe');
     DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
     DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Присылай следующих, если попадут в карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Вот новые логи. Карантин отправил. Winsockxpfix сделал. Интернет как бы не работает, страницы не открываются.
    Последний раз редактировалось aqua; 28.05.2008 в 12:40.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Логи делал до Winsockxpfix или после? Такое ощущение, что он не сработал.
    Попробуй сделать в AVZ восст. системы п.15, а после него п.18.
    Настройки надо будет прописать заново.

    Для прочистки от мусора:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\gwin32.dll');
     DelBHO('{FFFFFFFF-85A3-452b-B7A8-759AD9B42162}');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 27.05.2008 в 14:24.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    После этих процедур интернет заработал. Что дальше делать?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Профиксить:
    Код:
    O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll (file missing)
    O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - gwin32.dll (file missing)
    Сделать логи с п.10 Правил.

    Рабочий стол восстановился?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    204
    Вес репутации
    39
    Рабочий стол в порядке. Ошибки при загрузке пропали. Только СМТП потоки идут по полной процессом services.exe
    Последний раз редактировалось aqua; 28.05.2008 в 12:40.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  • Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. не удается полностью очистить компьютер (заявка №48311)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 16.01.2011, 18:00
    2. Ответов: 14
      Последнее сообщение: 12.02.2010, 00:07
    3. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    4. Вирус полностью завладел системой!!!
      От hormone в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.11.2009, 01:29
    5. Ответов: 16
      Последнее сообщение: 04.12.2006, 17:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00611 seconds with 16 queries