Показано с 1 по 13 из 13.

Хелп!!! VIRUS ALERT! (заявка № 32407)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57

    Thumbs up Хелп!!! VIRUS ALERT!

    Блокируется диспетчер задач, редактор реестра и т.д.
    надпись VIRUS ALERT! рядом с часами.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\Drivers\HBKernel32.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{B629FF4F-ACDB-5C90-A098-FACB3456A26B}');
     DelBHO('{AA59145F-315D-BC23-AC1F-145DF81A34AA}');
     DelBHO('{81FF9400-31B5-4786-9EA9-DD8425658399}');
     DelBHO('{80AF1289-F140-A140-D012-C1458759FC08}');
     DelBHO('{7FD45A54-9875-698F-E56E-65102358FDF7}');
     DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
     DelBHO('{7A041F13-A111-12A3-B0CF-F99818AA68A7}');
     DelBHO('{7319A1F1-9410-9654-3201-345FFA349137}');
     DelBHO('{6C648541-1025-9650-9057-6541258720C6}');
     DelBHO('{6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6}');
     DelBHO('{55694105-5108-9405-3695-954187462155}');
     DelBHO('{528DF602-9541-A985-210A-984A698C6F25}');
     DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
     DelBHO('{4A698102-5904-AFD0-20DF-CD1A65829CA4}');
     DelBHO('{3D698451-2015-6358-9871-2015987452D3}');
     DelBHO('{38093456-9012-4568-9076-908765467183}');
     DelBHO('{37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73}');
     DelBHO('{2A698452-C5D8-C584-C256-C264C987C5A2}');
     DelBHO('{20618412-C528-C784-C056-C164D1F7C502}');
     DelBHO('{1A698452-C5D8-C584-C256-C264C987C5A1}');
     QuarantineFile('System.exe','');
     QuarantineFile('C:\WINDOWS\system32\zywmgime.dll','');
     QuarantineFile('C:\WINDOWS\system32\zywlcime.dll','');
     QuarantineFile('C:\WINDOWS\system32\zxmsdwin.dll','');
     QuarantineFile('C:\WINDOWS\system32\zptlcsys.dll','');
     QuarantineFile('C:\WINDOWS\system32\yxcschlp.dll','');
     QuarantineFile('C:\WINDOWS\system32\ypdjgbmp.dll','');
     QuarantineFile('C:\WINDOWS\system32\tkimoesa.dll','');
     QuarantineFile('C:\WINDOWS\system32\tisqctyu.dll','');
     QuarantineFile('C:\WINDOWS\system32\ozfyebyt.dll','');
     QuarantineFile('C:\WINDOWS\system32\mnmhgsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\mndshsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\ijdyapaw.dll','');
     QuarantineFile('C:\WINDOWS\system32\ietzcpaq.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdf453d.dll','');
     QuarantineFile('C:\WINDOWS\system32\goqkzdhx.dll','');
     QuarantineFile('4F34C688.dll','');
     DeleteService('d4f876');
     QuarantineFile('C:\WINDOWS\system32\d4f876.sys','');
     DeleteService('HBKernel32');
     QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys','');
     QuarantineFile('C:\WINDOWS\rosqxvmn.dll','');
     QuarantineFile('C:\WINDOWS\qrbgltos.dll','');
     QuarantineFile('C:\WINDOWS\ngwstxfd.dll','');
     QuarantineFile('C:\WINDOWS\grfxbanonlm.dll','');
     DeleteFile('C:\WINDOWS\grfxbanonlm.dll');
     DeleteFile('C:\WINDOWS\ngwstxfd.dll');
     DeleteFile('C:\WINDOWS\qrbgltos.dll');
     DeleteFile('C:\WINDOWS\rosqxvmn.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\system32\d4f876.sys');
     DeleteFile('4F34C688.dll');
     DeleteFile('C:\WINDOWS\sysocmgr.dll');
     DeleteFile('C:\WINDOWS\system32\apsggjba.dll');
     DeleteFile('C:\WINDOWS\system32\apzhctde.dll');
     DeleteFile('C:\WINDOWS\system32\comuidsg.dll');
     DeleteFile('C:\WINDOWS\system32\detxbiua.dll');
     DeleteFile('C:\WINDOWS\system32\detxciua.dll');
     DeleteFile('C:\WINDOWS\system32\detxdiua.dll');
     DeleteFile('C:\WINDOWS\system32\fd233ds4f3.dll');
     DeleteFile('C:\WINDOWS\system32\goqkzdhx.dll');
     DeleteFile('C:\WINDOWS\system32\hdf453d.dll');
     DeleteFile('C:\WINDOWS\system32\ietzcpaq.dll');
     DeleteFile('C:\WINDOWS\system32\ijdyapaw.dll');
     DeleteFile('C:\WINDOWS\system32\mndshsrv.dll');
     DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
     DeleteFile('C:\WINDOWS\system32\ozfyebyt.dll');
     DeleteFile('C:\WINDOWS\system32\tisqctyu.dll');
     DeleteFile('C:\WINDOWS\system32\tkimoesa.dll');
     DeleteFile('C:\WINDOWS\system32\ypdjgbmp.dll');
     DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\system32\zptlcsys.dll');
     DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
     DeleteFile('C:\WINDOWS\system32\zywlcime.dll');
     DeleteFile('C:\WINDOWS\system32\zywmgime.dll');
     DeleteFile('HBBO.dll');
     DeleteFile('HBCHIBI.dll');
     DeleteFile('HBFY.dll');
     DeleteFile('HBQQFFO.dll');
     DeleteFile('HBZHUXIAN.dll');
     DeleteFile('HBmhly.dll');
     DeleteFile('System.exe');
     DeleteFile('C:\WINDOWS\lomxeqsn.exe');
     DeleteFile('C:\WINDOWS\system32\rgdam.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('d4f876');
    BC_DeleteSvc('HBKernel32');
    BC_Activate;
    ExecuteRepair(5 );
    ExecuteRepair(6 );
    ExecuteRepair(11 );
    ExecuteRepair(17 );
    RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57

    Карантин выслал, выкладываю логи.

    Карантин выслал, выкладываю логи.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    По классификации ЛК:
    lomxeqsn.exe_ - Trojan.Win32.Vapsup.mlk (свежий)

    rgdam.exe_ - Trojan-Downloader.Win32.Delf.phh

    Добавлено через 6 минут

    Профиксить:
    Код:
    O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing)
    O3 - Toolbar: rosqxvmn - {BD60E499-C107-4500-B34C-4BA089A6EEC3} - C:\WINDOWS\rosqxvmn.dll (file missing)
    O4 - HKLM\..\Run: [HBService32] System.exe
    O21 - SSODL: sysocmgr - {DA1DE019-A6A8-ED40-4B87-248B2A93DE99} - C:\WINDOWS\sysocmgr.dll (file missing)
    O21 - SSODL: comuidsg.dll - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} - C:\WINDOWS\system32\comuidsg.dll (file missing)
    O21 - SSODL: tkimoesa.dll - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} - C:\WINDOWS\system32\tkimoesa.dll (file missing)
    O21 - SSODL: goqkzdhx.dll - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} - C:\WINDOWS\system32\goqkzdhx.dll (file missing)
    O21 - SSODL: qrbgltos - {128E7620-E5CD-4D71-BD9D-FB718015DEF4} - C:\WINDOWS\qrbgltos.dll (file missing)
    O21 - SSODL: ngwstxfd - {783EC22E-A3D8-43B8-BA18-C3F21DB345C8} - C:\WINDOWS\ngwstxfd.dll (file missing)
    Выполнить:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(17);
    end.
    сделать новые логи.
    Последний раз редактировалось PavelA; 21.10.2008 в 10:54. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57

    Все сделал высылаю логи

    Выполнил оба предписания и высылаю логи
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    O20 - AppInit_DLLs: HBmhly.dll,HBCHIBI.dll,HBQQFFO.dll,HBZHUXIAN.dll,HBBO.dll,HBFY.dll
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('HBKernel32');
     DeleteService('d4f876');
     DeleteFile('C:\WINDOWS\system32\d4f876.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys');
     DeleteFile('4F34C688.dll');
     DeleteFile('C:\WINDOWS\system32\apsggjba.dll');
     DeleteFile('C:\WINDOWS\system32\apzhctde.dll');
     DeleteFile('C:\WINDOWS\system32\detxbiua.dll');
     DeleteFile('C:\WINDOWS\system32\detxciua.dll');
     DeleteFile('C:\WINDOWS\system32\detxdiua.dll');
     DeleteFile('C:\WINDOWS\system32\fd233ds4f3.dll');
     DeleteFile('C:\WINDOWS\system32\hdf453d.dll');
     DeleteFile('C:\WINDOWS\system32\ietzcpaq.dll');
     DeleteFile('C:\WINDOWS\system32\ijdyapaw.dll');
     DeleteFile('C:\WINDOWS\system32\mndshsrv.dll');
     DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
     DeleteFile('C:\WINDOWS\system32\ozfyebyt.dll');
     DeleteFile('C:\WINDOWS\system32\tisqctyu.dll');
     DeleteFile('C:\WINDOWS\system32\ypdjgbmp.dll');
     DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
     DeleteFile('C:\WINDOWS\system32\zywlcime.dll');
     DeleteFile('C:\WINDOWS\system32\zywmgime.dll');
     DeleteFile('HBBO.dll');
     DeleteFile('HBCHIBI.dll');
     DeleteFile('HBFY.dll');
     DeleteFile('HBQQFFO.dll');
     DeleteFile('HBZHUXIAN.dll');
     DeleteFile('HBmhly.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('d4f876');
    BC_DeleteSvc('HBKernel32');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57

    Высылаю логи

    Высылаю логи
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\zptlcsys.dll');
     DeleteFile('E:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если еще не выполнили скрипт. Что у нас в autorun.inf на "Е"?
    Открывать "Блокнотом".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57
    Содержание файла autorun.inf

    тайна покрытая мраком

    Указанный в нем файл не запускается его удаляет антивирус как только он появляется.

    Выкладываю Логи
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 22.10.2008 в 18:55.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  13. #12
    Junior Member Репутация
    Регистрация
    20.10.2008
    Сообщений
    6
    Вес репутации
    57
    Огромное СПАСИБО! Пожертвования уже внесли. Приятно с Вами сотрудничать.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\lomxeqsn.exe - Trojan.Win32.Vapsup.mlk (DrWEB: Trojan.Popuper.8343)
      2. c:\\windows\\system32\\rgdam.exe - Trojan-Downloader.Win32.Delf.phh (DrWEB: Trojan.PWS.Siggen.22)


  • Уважаемый(ая) RDL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. VIRUS ALERT!
      От An-irk в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 10:05
    2. VIRUS ALERT!
      От Ushastik в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 08:18
    3. Всё тот же Virus Alert.
      От flighter в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 06:26
    4. Antivirus2008Pro Virus Alert! Spyware Alert
      От Stas_Boroda в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:20
    5. Virus alert и все все все
      От Katuhin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.10.2008, 20:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00399 seconds with 20 queries