Junior Member
Вес репутации
59
вирус попали разные, система глючит
с сайта подцепила вирус, причеи сначала писал malware, потом trojan-gen, потом TDrop, Agent-AAG0,Agent-VGV. Зараженные файлы в папках Temporary_internet_files, system32. В последнюю проверку файлов 7 вирусных:
system32\xptb796.exe
xptb790.exe
xptb534.exe
Temporary_internet_files\adv525[1].exe
idr4_288[1].exe
se123[1].exe
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:
Код:
O2 - BHO: C:\WINDOWS\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll
O4 - HKLM\..\Run: [advap32] "c:\4ulmbm.exe" /r
O4 - HKLM\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\winlogan.exe');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\PciBus.sys','');
QuarantineFile('c:\4ulmbm.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll','');
QuarantineFile('c:\windows\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\Work\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Work\ie_updates3r.exe');
BC_DeleteFile('C:\Documents and Settings\Work\ie_updates3r.exe');
DeleteFile('c:\windows\temp\winlogan.exe');
BC_DeleteFile('c:\windows\temp\winlogan.exe');
DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
BC_DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe');
BC_DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('c:\4ulmbm.exe');
BC_DeleteFile('c:\4ulmbm.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
BC_DeleteSVC('FCI');
BC_DeleteSVC('Google Online Services');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
Executerepair(6);
Executerepair(7);
Executerepair(8);
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26511 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
Junior Member
Вес репутации
59
сделала как вы сказали
я все сделала, но по-момоему avz- пишет есть перехватчик. Это вирус или нет. жду ответа
Вложения
Выполните такой скрипт:
Код:
begin
BC_DeleteSvc('Winxd55');
BC_Activate;
RebootWindows(true);
end.
Видимо, лечение прошло удачно, но для полной уверенности скачайте AVZ версии 4.30, обновите ее базы и сделайте логи заново, все три по правилам.
I am not young enough to know everything...
Junior Member
Вес репутации
59
сделала
спасибо! сделала по новой с avz4.30
Вложения
В логах я ничего подозрительного больше не вижу, но, на всякий случай, предложил бы обновить AVZ(верхнее меню "Файл" - "Обновление баз") , скачать версию 2.02 Hijackthis ( ссылка - в правилах раздела "Помогите!" ), да и повторить логи, начиная с п. 10 правил.
Junior Member
Вес репутации
59
сделала с обновлением
спасибо всем за помощь! без вас бы с компом не справилась!!!
Вложения
Активного ничего , по-моему, не видно. На всякий случай, очистите корзину и удалите временные файлы . Какие-нибудь симптомы заражения остались?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 26 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\work\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.zr (DrWEB: Trojan.DownLoader.based) c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56 c:\\windows\\temp\\winlogan.exe - Trojan-Downloader.Win32.Agent.wja (DrWEB: Trojan.DownLoad.2061)