Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 60.

virus (заявка № 24676)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56

    Thumbs up virus

    AVZ сразу после запуска закрывается
    Последний раз редактировалось mic149; 19.06.2008 в 21:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56

    help me

    pleazzzzz

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Скачайте этот AVZ и сделайте логи.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    пока ждал ответа, вставил винт в другой комп, cureit сообщил:
    ftp34.dll -trojan.downloader.63153
    svchost.exe с разными путями - тоже trojan.downloader.63153
    разные зараженные exe'шники - win32.sector.5
    c:\windows\system32\appmgmtu.exe - win32.sector.5
    back.exe.exe - trojan.downloader.62867
    ftp34.dll -trojan.downloader.63153
    hkcmd.exe - win32.sector.5 - исцелен
    iedn534.exe, iedn632.exe и др - trojan.downloader.62867
    trojan.downloader.63153
    win32.sector.5
    trojan.click.19083
    backdoor.bulknet.213
    winnt64.dll, winnt64.dl_ - trojan.downloader.63655
    rundll32.exe - win32.sector.5 - исцелен
    kdkvm.exe - trojan.virtumod.based.14
    igfxpers.exe - trojan.inject.3477 - исцелен
    c:\windows\system32\drivers\mfdt47.sys - trojan.spambot.3201
    services.exe - trojan.downloader.63152
    svchost.exe - trojan.click.19083
    winqv74.sys - trojan.rntm.10
    c:\userinit.exe - trojan.downloader.63152

    ---------------
    я боюся

    Добавлено через 4 минуты

    вирус на компе размножается заражая exe'шники win32.sector.5 - проверил флэшку, которую туда вставлял
    Последний раз редактировалось mic149; 16.06.2008 в 14:52. Причина: Добавлено

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    теперь нарушены ассоциации с exe - не запускается hijackthis, но компьютер почти ожил
    Последний раз редактировалось mic149; 19.06.2008 в 21:01.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    восстановил ассоциации
    Последний раз редактировалось mic149; 19.06.2008 в 21:09.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте C:\WINDOWS\System32\Drivers\Flr85.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
     DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
     DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
     QuarantineFile('C:\WINDOWS\system32\uituaacs.dll','');
     QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\helloserv.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
     QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe','');
     QuarantineFile('C:\Documents and Settings\Ирина\svchost.exe','');
     BC_DeleteSvc('Vbg27');
     QuarantineFile('C:\WINDOWS\System32\drivers\Vbg27.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd85.sys','');
     BC_DeleteSvc('msdvdDrv');
     QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
     BC_DeleteSvc('aic32p');
     QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
     BC_DeleteSvc('Flr85');
     BC_DeleteSvc('System Event Browser');
     QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe','');
     BC_DeleteSvc('Schedule');
     QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
     BC_DeleteSvc('msdvdr');
     QuarantineFile('C:\Documents and Settings\Ирина\ie_updates3r.exe','');
     BC_DeleteSvc('Google Online Services');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Flr85.sys','');
     QuarantineFile('C:\WINDOWS\system32\mlJApPIB.dll','');
     QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
     QuarantineFile('c:\temp\60.com','');
     DeleteFile('c:\temp\60.com');
     DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
     DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Flr85.sys');
     DeleteFile('C:\Documents and Settings\Ирина\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\msdvdr.pif');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\sysbrw32.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
     DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Vbg27.sys');
     DeleteFile('C:\Documents and Settings\Ирина\svchost.exe');
     DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\csrssc.exe');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
     DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     DeleteFile('C:\WINDOWS\helloserv.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
     DeleteFile('C:\WINDOWS\system32\uituaacs.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('WinNt64.dll');
     DeleteFile('ddcBRkji.dll');
     DeleteFile('sockins32.dll');
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    все-равно висит в памяти win32.sector.7
    ...карантин через 3 мин и заражает файлы win32.sector.5

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Куритом с диска проверяли?

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    да, а он что заражен может быть?
    а после курита бесполезно запускать авз и хайджеквис?
    сейчас перезагружу тогда компьютер и выполню эти прогаммы.
    курит, по ходу, убил файлы в карантине....

    ------------
    ...опять выполнить скрипт?
    Последний раз редактировалось mic149; 16.06.2008 в 16:15.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56

    перезагрузка

    как состояние?
    чисто или нет?
    Последний раз редактировалось mic149; 19.06.2008 в 21:09.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    как насчет ответа сегодня?
    ...пожалуйста...

    вы за убитый карантин обиделись?
    я больше не буду

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Мы не можем при помощи AVZ, к сожалению, лечить файловые вирусы. Куреит с СД запускали? "Восст. системы" религия отключить не позволяет?
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\appmgmtu.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
     DeleteService('Qwd85');
     SetServiceStart('Qwd85', 4);
     QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys','');
     SetServiceStart('aic32p', 4);
     DeleteService('aic32p');
     QuarantineFile('c:\temp\60.com','');
     DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\appmgmtu.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
     DeleteFile('sockins32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepait(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин и сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    отключил восстановление системы,
    пролечил все куритом с сидишника.
    но после курита, все равно какая-то гадость сидит в памяти и всё заражает - начинаешь проверять во второй раз - опять находит зараженные файлы, но в памяти зараженных процессов не видит при этом.
    логи:

    после этих логов выполню скрипт и после перезагрузки пришлю новые логи
    Последний раз редактировалось mic149; 19.06.2008 в 21:09.

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    после скрипта:
    ...карантин пустой...
    что-то как-то бесперспективно, блин
    переставлять винду?
    есть кто-нибудь?
    Последний раз редактировалось mic149; 19.06.2008 в 21:09.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    !!! помогите пожалуйста !!!

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Давай попробуем вот так:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ddcBRkji.dll','');
     QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
     DeleteService('Winqv74');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd85.sys','');
     DeleteService('Qwd85');
     QuarantineFile('c:\temp\60.com','');
     DeleteFile('c:\temp\60.com');
     DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys');
     DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
     DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После этого сделай новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    вот...
    60.com - это avz, т.к. просто avz не запускается - мне его с virusinfo прислали
    ---------
    сейчас аваста установлю - старого вирусы затравили
    начал ставить аваста - комп перегрузился
    Последний раз редактировалось mic149; 19.06.2008 в 21:09.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в IceSword C:\WINDOWS\system32\drivers\gsmohn.sys -- force delete
    выпроните скрипрт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{8FC29AE9-7ADE-4457-B488-47177BE1F0FE}');
     DelBHO('{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}');
     BC_DeleteSvc('Qwd85');
     BC_DeleteSvc('aic32p');
     DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Qwd85.sys');
     DeleteFile('C:\WINDOWS\system32\ddcBRkji.dll');
     DeleteFile('C:\WINDOWS\system32\mlJApPIB.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.01.2008
    Сообщений
    141
    Вес репутации
    56
    сейчас сделаю....
    ....но, извините если я не в тему
    этот вирус заражает почти ВСЕ exe'шники
    и при загрузке Винды всё по идее опять заражается, но я не спец конечно...
    кстати, там нет такого файла, бл*********** (C:\WINDOWS\system32\drivers\gsmohn.sys)

  • Уважаемый(ая) mic149, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Kaspersky Anti-Virus: forbidden incoming virus Trojan-Downloader.BAT.Small.aq
      От makstarikov в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 29.06.2012, 13:01
    2. Virus Acting Like an Anti-Virus Program (заявка №47308)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 18.01.2011, 21:01
    3. Virus removal tool does not eliminate identified virus (заявка №41545)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 13.12.2010, 12:00
    4. Virus Removal Tool Failed to remove Virus (заявка №38037)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 18.11.2010, 18:00
    5. Ответов: 5
      Последнее сообщение: 22.01.2009, 01:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00676 seconds with 16 queries