-
Junior Member
- Вес репутации
- 58
не могу справиться с вирусом.
Кароче... У меня после захода на какой-то сайт... Произошла такая фигня... Часть прог удалилось. Аваст завизжал, все вирусы я поудалял и вроде бы все... Я подумал - что легко отделался... Но не тут то было... После каждой загрузки компа... Стандартно одни и те же файлы зараженыые. А именно какой-то bat и еще какой-то... Но имена вирусов - я переписал
vbs:Malware-gen
Win32:Agent-VGV [Wrm]
Кароче у меня есть прога HijackThis.exe. И больше ничего нет=) я просто новенький в этих вопросов. Если еще что-то надо - скажите плиз.
А вот результат анализа этой прогой
Заранее большое спасибо!
Последний раз редактировалось Brakses; 25.02.2009 в 20:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нужны ещё логи АВЗ, согласно Правил
-
Junior Member
- Вес репутации
- 58
Кароче, тут еще одна проблем. авз4 я еле еле смог запустить. Он у меня не распаковывался. Писал, что нет каких-то резервов. Тоже и с касперской утилитой. Кстати теперь мой антивирус - аваст не обновляется... Выдается ошибка, что не возможно обновиться...Что делать?
Кароче в безопасном режиме я смог запустить авз4 вот вкладывю и его. Но обновить его я не могу... Поэтому база старая. Ибо при обновление - выдается ошибка=(
Обновление системы - отключил.
Последний раз редактировалось Brakses; 25.02.2009 в 20:41.
-
Вы не те логи АВЗ дали.
gaga.com - попробуйте эту версию АВЗ, она переименванав gaga.com. Базы обновлять не нужно.
-
Junior Member
- Вес репутации
- 58
Спасибо за терпение. Пишу быстро ибо уже вылетаю из интернета. Комп начанает "баловаться" выкидывает с сайтов и пропадает доступ к интернету через 5-8 минут пользования...
Кароче че-то файл большого размера получился... Закачал на ифолдер
Последний раз редактировалось Rene-gad; 23.09.2008 в 17:39.
-
Сообщение от
Brakses
Кароче че-то файл большого размера получился...
Коротко: Вы туда карантин вместо логов влепили
Читайте правила иначе тему закрою.
Результат загрузки
Файл сохранён как 080923_085157_virus_48d8f47da246f.zip
Размер файла 9786722
MD5 28c52fdaabdc3f6afa9ca71ceb69eb9f
Файл закачан, спасибо!
Последний раз редактировалось Rene-gad; 23.09.2008 в 17:57.
-
-
Junior Member
- Вес репутации
- 58
Простите меня пожалуйста. Просто когда комп уже не слушается - начанаешь суетиться... И эти подробности проскальзывают между глаз. Щас попробую прочитать... =((( Простите еще раз... Просто что-то очень гнусно на душе, когда такая фигня случается.
Все. Вот 3 файла. Все сделал как в правилах... правда читал 6 раз=((( Всегда выкидывает.
Прошу - помогите.
Последний раз редактировалось Brakses; 25.02.2009 в 20:41.
-
Там в Правилах в самом низу есть архив с правилами для скачки.
-
-
Junior Member
- Вес репутации
- 58
Я чувствую, что меня вирус сожрет - это точно...=( Пока я дождусь помощи=((((((
-
Сообщение от
Brakses
Я чувствую, что меня вирус сожрет - это точно..
Ну, если Вы считаете себя файлом, который могут сожрать вирусы, то Вы ИМО не в ту больницу обратились...
scnr
А если бы Вы с утра все по правилам сделали, то мб. уже бы и вылечили.
Ну, довольно лирики...(с) Труба зовет
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.bak
Скопированные с помощью IceSword файлы сохраните в папке карантина АВЗ.
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\slave.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxs88.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwp55.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winvh77.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winsl00.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winqn44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winni55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp22.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winks00.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winje11.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wincn88.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mtqwuspo.sys','');
QuarantineFile('C:\WINDOWS\system32\cryptlnk.dll','');
QuarantineFile('C:\Documents and Settings\Toster\Application Data\Microsoft\Windows\lsass.exe','');
QuarantineFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\2\svchost.exe','');
DeleteService('Winxs88');
DeleteService('Winwp55');
DeleteService('Winvh77');
DeleteService('Winsl00');
DeleteService('Winqn44');
DeleteService('Winni55');
DeleteService('Winlp22');
DeleteService('Winks00');
DeleteService('Winje11');
DeleteService('Wincn88');
DeleteService('slave');
DeleteService('mtqwuspo');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\slave.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxs88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwp55.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winvh77.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winsl00.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winqn44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winni55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlp22.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winks00.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winje11.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wincn88.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mtqwuspo.sys');
DeleteFile('C:\WINDOWS\system32\cryptlnk.dll');
DeleteFile('C:\Documents and Settings\Toster\Application Data\Microsoft\Windows\lsass.exe');
DeleteFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\2\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxs88');
BC_DeleteSvc('Winwp55');
BC_DeleteSvc('Winvh77');
BC_DeleteSvc('Winsl00');
BC_DeleteSvc('Winqn44');
BC_DeleteSvc('Winni55');
BC_DeleteSvc('Winlp22');
BC_DeleteSvc('Winks00');
BC_DeleteSvc('Winje11');
BC_DeleteSvc('Wincn88');
BC_DeleteSvc('slave');
BC_DeleteSvc('mtqwuspo');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Ой.. Кажись сработало=)))
Спасибо большое... Я просто уже начал отчаиваться... Надеюсь я щас все прально делаю...
Карантин с именем вирус и с файлом малваре я отправил через верхнюю часть
А логи прикрепляю сюда.
Фух.. Еще раз ОГРОМНИЙШЕЕ СПАСИБО!!!
Последний раз редактировалось Brakses; 25.02.2009 в 20:41.
-
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: cryptlnk - cryptlnk.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Скачайте нормальный АВЗ, обновите базы, сделайте логи по п. 2 и 3 Диагностики.
-
-
Junior Member
- Вес репутации
- 58
Простите за задержку... У меня сохранилась таже хрень по поводу ав3 - не могу разархирвировать=( каких- то квот не хватает... Но антивирь обновляется... А ав3 не может=( В чем проблема??
А профиксить - профиксил... Но меня это настораживает... Скачиваю уже установленную версию - все какими-то иероглифами и цифрами все написано - обновить не получается.
-
Junior Member
- Вес репутации
- 58
кароче...проверился полность антивирем...все про квоты- справился.
Но 1 глюк остался... Лазаю лазаю по нету.. И двргу окно интернет експлорера резко закрывается... И причем трудно игодать когда это произойдет. Кстати я щас уже включил автоматич. Обновление. Номр? или отключить обратно и не включать?
Последний раз редактировалось Brakses; 25.02.2009 в 20:41.
-
В логах чисто, используйте альтернативный браузер...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 178
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\toster\\application data\\microsoft\\windows\\lsass.exe - Trojan.Win32.Buzus.ywz (DrWEB: Trojan.DownLoad.4693)
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.akeb (DrWEB: Trojan.DownLoad.12654)
- c:\\windows\\system32\\cryptlnk.dll - Trojan-Spy.Win32.Goldun.azb (DrWEB: Trojan.PWS.GoldSpy.2261)
- c:\\windows\\system32\\drivers\\sptd.sys - Trojan-Spy.Win32.Goldun.azc (DrWEB: Trojan.PWS.GoldSpy.2261)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bnh (DrWEB: BackDoor.Bulknet.225)
- c:\\windows\\winlogon.exe - Trojan-Proxy.Win32.Agent.bak (DrWEB: Trojan.Spambot.3202)
- \\infected\\2008-09-23\\malware - Trojan-Downloader.Win32.Mutant.bnh (DrWEB: BackDoor.Bulknet.225)
-