вирус попали разные, система глючит
с сайта подцепила вирус, причеи сначала писал malware, потом trojan-gen, потом TDrop, Agent-AAG0,Agent-VGV. Зараженные файлы в папках Temporary_internet_files, system32. В последнюю проверку файлов 7 вирусных:
system32\xptb796.exe
xptb790.exe
xptb534.exe
Temporary_internet_files\adv525[1].exe
idr4_288[1].exe
se123[1].exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O2 - BHO: C:\WINDOWS\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll O4 - HKLM\..\Run: [advap32] "c:\4ulmbm.exe" /r O4 - HKLM\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe O4 - HKCU\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26511 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\winlogan.exe'); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\PciBus.sys',''); QuarantineFile('c:\4ulmbm.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe',''); QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll',''); QuarantineFile('c:\windows\temp\winlogan.exe',''); QuarantineFile('C:\Documents and Settings\Work\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\Work\ie_updates3r.exe'); BC_DeleteFile('C:\Documents and Settings\Work\ie_updates3r.exe'); DeleteFile('c:\windows\temp\winlogan.exe'); BC_DeleteFile('c:\windows\temp\winlogan.exe'); DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll'); BC_DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe'); BC_DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\DOCUME~1\Work\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); BC_DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('c:\4ulmbm.exe'); BC_DeleteFile('c:\4ulmbm.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}'); BC_DeleteSVC('FCI'); BC_DeleteSVC('Google Online Services'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; Executerepair(6); Executerepair(7); Executerepair(8); RebootWindows(true); end.
я все сделала, но по-момоему avz- пишет есть перехватчик. Это вирус или нет. жду ответа
Выполните такой скрипт:
Видимо, лечение прошло удачно, но для полной уверенности скачайте AVZ версии 4.30, обновите ее базы и сделайте логи заново, все три по правилам.Код:begin BC_DeleteSvc('Winxd55'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
спасибо! сделала по новой с avz4.30
В логах я ничего подозрительного больше не вижу, но, на всякий случай, предложил бы обновить AVZ(верхнее меню "Файл" - "Обновление баз") , скачать версию 2.02 Hijackthis ( ссылка - в правилах раздела "Помогите!" ), да и повторить логи, начиная с п. 10 правил.
спасибо всем за помощь! без вас бы с компом не справилась!!!
Активного ничего , по-моему, не видно. На всякий случай, очистите корзину и удалите временные файлы. Какие-нибудь симптомы заражения остались?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\work\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.zr (DrWEB: Trojan.DownLoader.based)
- c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56
- c:\\windows\\temp\\winlogan.exe - Trojan-Downloader.Win32.Agent.wja (DrWEB: Trojan.DownLoad.2061)
Уважаемый(ая) tali, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
