-
Junior Member
- Вес репутации
- 55
Системы начинают чудить
Доброго времени суток.
Народ помогите пожалуйста уже второй комп в сети
не может на virusinfo.info, kaspersky.ru, drweb.ru зайти
выкидывает на какие то левые сайты. Но попробовал
сейчас зашёл вот и пишу. avz.exe не запускаеться нефига,
некоторые сайты вначале открываються нормально, а потом
меняеться кодировка на иерогливы.
Подскажите как быть?
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
нужны логи по правилам. Попробуйте переименовать файл Avz.exe в Gomer.com, например.
-
-
Junior Member
- Вес репутации
- 55
Спасибо помогло
Посмотрите пожалуйста логи
файлик virusinfo_cure.zip
подгрузить не могу, он весит 70,5 мб о_0
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
virusinfo_cure.zip - грузить сюда не надо, надо было еще лог сделать virusinfo_syscheck.zip
Отключите восстановление системы!!!
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\msdriver.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\svchost.exe
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msdriver.exe');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\msdriver.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\msdriver.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временный папки интернета.
Сделайте новые логи по правилам - virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 55
Карантин прикрепил
Файл сохранён как 090703_095548_virus_4a4d9d6417205.zip
Размер файла 35541
MD5 d815d6132561a7bca6ba6c4a2e17adb5
щас повторю логи
-
Junior Member
- Вес репутации
- 55
Повторяю логи, поглядите пожалуйста
ещё вопросик такой в папке
C:\Documents and Settings\polzovatel в корне
лежит файлик 9293.exe похожего не качалось
да и вообще на вирус похоже, как быть с этим?
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
В логах данный файл неотображается, скорее это вредонос (возможно битый), запакуйте его в архив с паролем 'virus' и пришлите http://virusinfo.info/upload_virus.php?tid=49165
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 55
архив с файликом выслал
Файл сохранён как 090703_115312_9392_4a4db8e889a5b.zip
Размер файла 33374
MD5 f343e8dda00002847529d628e8c3195f
-
Вот так теперь это будет называться:
msdriver.exe_ detected Trojan-Clicker.Win32.Agent.hul
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Поглядите пожалуйста повторённые логи и подскажите что делать с этим этим файлом-вирусом, др Веб его не находит, как оказалось avz тоже(
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
Еще чего-то поймали
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ClearQuarantine;
QuarantineFile('digiwet.dll','');
BC_DeleteSvc('SysmonLogHTTPFilter');
QuarantineFile('C:\WINDOWS\system32\adortl70c.exe','');
DeleteFile('C:\WINDOWS\system32\adortl70c.exe');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Приложению 3 Правил.
Сделать логи зново.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Вот высылаю в очередной раз
повторённые логи ))
а карантина нету поглядите пожалуйста
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
-
-
Junior Member
- Вес репутации
- 55
А что делать с файликом 9192.ехе
он же как сказал PavelA
msdriver.exe_ detected Trojan-Clicker.Win32.Agent.hul ??
лежит он повторюсь по пути
C:\Documents and Settings\polzovatel в корне
-
9192.ехе - тоже Trojan-Clicker.Win32.Agent.hul
Адрес такой - C:\Documents and Settings\polzovatel\9192.exe?
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\Documents and Settings\polzovatel\9192.exe');
end.
Или руками удалите.
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт, перезагрузил комп, файлик
остался, удалил его руками и опять перезагрузил
комп, вроде вирус больше не появился
Всем Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\msdriver.exe - Trojan-Clicker.Win32.Agent.hul
- \9392.exe - Trojan-Clicker.Win32.Agent.hul
-