В трее рядом с часами надпись "Virus alert!". Переодически выскакивает окошко "Windows has detected an Internet attack attempt...", ломится в инет.На раб. столе появились ярлыки якобы антивируса. Вот такПомогите, пожалуйста
Предположительно Trojan.Vapsup.fpn
В трее рядом с часами надпись "Virus alert!". Переодически выскакивает окошко "Windows has detected an Internet attack attempt...", ломится в инет.На раб. столе появились ярлыки якобы антивируса. Вот так
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\ctsfm2k.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\nvatabus.sys',''); QuarantineFile('updateex.sys',''); DeleteService('mpr_freader'); QuarantineFile('C:\WINDOWS\system32\drivers\hap16v2k.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctdvda2k.sys',''); DeleteService('updateex'); QuarantineFile('C:\WINDOWS\system32\drivers\PfModNT.sys',''); DeleteService('BTHUSB2k'); StopService('BTHUSB2k'); DeleteService('acpint'); StopService('acpint'); QuarantineFile('C:\Documents and Settings\K@shey\Local Settings\Temporary Internet Files\Content.IE5\XZ664ZA4\1215183929[1].exe',''); QuarantineFile('C:\Program Files\Creative\SBLive\Diagnostics\RestEng.dll',''); QuarantineFile('c:\windows\okmdepgb.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\updateex.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpint.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\BTHUSB2k.sys',''); DelBHO('{61D1EA3E-A930-4BEB-B16B-D7212B5C5A4C}'); DelBHO('{75120D8A-C869-4A41-9D18-E37BF9CC4F8A}'); DelBHO('{0BD071A6-C989-49E8-9B8E-80F92A868E26}'); QuarantineFile('C:\WINDOWS\system32\734914\734914.dll',''); QuarantineFile('C:\WINDOWS\Resources\BootRunOnce.dll',''); QuarantineFile('C:\WINDOWS\axrfgvek.dll',''); QuarantineFile('C:\WINDOWS\explorer.exe',''); QuarantineFile('C:\WINDOWS\okmdepgb.dll',''); QuarantineFile('C:\WINDOWS\nqgpedlr.dll',''); QuarantineFile('C:\WINDOWS\kgqfweltgnr.dll',''); DeleteFile('C:\WINDOWS\kgqfweltgnr.dll'); DeleteFile('C:\WINDOWS\nqgpedlr.dll'); DeleteFile('C:\WINDOWS\okmdepgb.dll'); DeleteFile('C:\WINDOWS\axrfgvek.dll'); DeleteFile('C:\WINDOWS\system32\734914\734914.dll'); DeleteFile('c:\windows\okmdepgb.dll'); DeleteFile('C:\Documents and Settings\K@shey\Local Settings\Temporary Internet Files\Content.IE5\XZ664ZA4\1215183929[1].exe'); DeleteFile('C:\WINDOWS\system32\drivers\updateex.sys'); DeleteFile('C:\WINDOWS\system32\drivers\acpint.sys'); DeleteFile('C:\WINDOWS\system32\drivers\BTHUSB2k.sys'); DeleteFile('updateex.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25909
2. Повторите логи.
The worst foe lies within the self...
Кроме выскакивающего окошка остальные симптомы остались.
Прилагаю логи
Авз - Мастер поиска и устранения проблем - выбрать все устранить ....
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HZGEYWX0\1215189476[1].exe',''); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HZGEYWX0\1215189476[1].exe'); RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Скрипты помогли, спасибо. Внешне всё выглядит нормально. Вот логи
По карантину:
1215183929[1].exe_ - Trojan-Downloader.Win32.Small.xpe,
axrfgvek.dll - Trojan.Win32.Vapsup.hoi,
BootRunOnce.dll - Trojan.Win32.Agent.ryf,
kgqfweltgnr.dll - Trojan.Win32.Vapsup.hrl,
nqgpedlr.dll - Trojan.Win32.Vapsup.hrj,
okmdepgb.dll - Trojan.Win32.Vapsup.hou
734914.dll - not-a-virus:AdWare.Win32.E404.ep
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe',''); DeleteService('mpr_freader'); DeleteFile('C:\WINDOWS\Resources\BootRunOnce.dll'); DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Повторите логи.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O21 - SSODL: okmdepgb - {B222598C-E090-48E2-A624-C3B62CD22BFA} - (no file) O21 - SSODL: BootRunOnce - {1369b215-a961-49fe-8be0-8390f7e47ff6} - C:\WINDOWS\Resources\BootRunOnce.dll
The worst foe lies within the self...
Всё пофиксил, кроме этой строчки
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
её не оказалось. Прилагаю логи.
Вроде все чисто.
Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
Вы можете его высказать в теме Скажи, что ты думаешь о VirusinfoСообщение от anton_dr
The worst foe lies within the self...
Большое спасибо всем, кто помогал
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\hzgeywx0\\1215189476[1].exe - Trojan-Downloader.Win32.Small.xpe (DrWEB: Trojan.DownLoad.1041)
- c:\\documents and settings\\k@shey\\local settings\\temporary internet files\\content.ie5\\xz664za4\\1215183929[1].exe - Trojan-Downloader.Win32.Small.xpe (DrWEB: Trojan.DownLoad.1041)
- c:\\windows\\axrfgvek.dll - Trojan.Win32.Vapsup.kee (DrWEB: Trojan.Popuper.6979)
- c:\\windows\\kgqfweltgnr.dll - Trojan.Win32.Vapsup.hrl (DrWEB: Trojan.Popuper.6981)
- c:\\windows\\nqgpedlr.dll - Trojan.Win32.Vapsup.hrj (DrWEB: Trojan.Popuper.6977)
- c:\\windows\\okmdepgb.dll - Trojan.Win32.Vapsup.hou (DrWEB: Trojan.Popuper.6980)
- c:\\windows\\resources\\bootrunonce.dll - Trojan.Win32.Agent.ryf (DrWEB: Trojan.Click.19206)
- c:\\windows\\system32\\734914\\734914.dll - not-a-virus:AdWare.Win32.E404.ep (DrWEB: Trojan.Siggen.151)
Уважаемый(ая) Kashey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
