Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирусы Packed.Win32.Tdss.c b Win32/Olmarik (заявка № 57021)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31

    Вирусы Packed.Win32.Tdss.c b Win32/Olmarik

    При работе в сети я никак не могу перйти по нужной ссылке, вирусы меня перебрасывают по другой ссылке.
    Каспер VRT не может удалить Packed.Win32.Tdss.c, а Nod32 - Win32/Olmarik.
    Как удалить эти вирусы?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Дайте пожалуйста скрипты

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Выполните в AVPTool скрипт:

    Код:
    begin
    SetAVZPMStatus(true);    
    RebootWindows(true);
    end.
    Сделайте новый лог исследования системы.
    Сердце решает кого любить... Судьба решает с кем быть...

  5. #4
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Ввел скрипт, программа запросила удаление Каспера Тула по завершению перезагрузки. пока я думал комп перегрузился, я вновь проверку сделал, нажимал на удаление вируса-пакеда, но он не удаляется. Сделал новоый файл о системе. Что делать дальше?
    Кстати. я не могу ни как перейти никуда, даже шобы скачать активирусовские приложения и т.д.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните в AVPTool скрипт:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe','');
     QuarantineFile('C:\WINDOWS\system32\calc.dll','');
     QuarantineFile('C:\DOCUME~1\LOCALS~1\ntuser.dll','');
     DeleteService('irozwb');
     DeleteService('AlerterALG');
     QuarantineFile('C:\WINDOWS\TEMP\nqvcxnmdiv.exe','');
     DeleteFile('\systemroot\system32\drivers\rotscxhxfvnsec.sys');
     DeleteFile('C:\WINDOWS\TEMP\nqvcxnmdiv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\xejvltbzhc.sys');
     DeleteFile('C:\DOCUME~1\LOCALS~1\ntuser.dll');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','calc');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','calc');
     DeleteFile('C:\WINDOWS\system32\calc.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','calc');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mserv');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svchost');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=57021

    3. Сделайте новый лог исследования системы.

  7. #6
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    И это вся помощь, а команду "моя." мне в скрипты вогнать?

    Добавлено через 5 минут

    Aleksandra, что делать-то?
    Последний раз редактировалось olmarik; 12.10.2009 в 23:05. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Вам же написали - выполните скрипт, что непонятного?
    The Truth is Out There

  9. #8
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Все сделал! Что дальше?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Такой лог сделайте http://virusinfo.info/showthread.php?t=40118
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Вот, я сделал по инструкции. Жду дальнейших рекомендаций.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Выполните в Gmer:

    Код:
    lsrd1exp.exe -del service rotscxeseexnqq
    lsrd1exp.exe -del file "c:\windows\system32\drivers\rotscxhxfvnsec.sys"
    lsrd1exp.exe -del file "c:\windows\system32\rotscxfpylnqjo.dll"
    lsrd1exp.exe -del file "c:\windows\system32\rotscxqhxnxobl.dat"
    lsrd1exp.exe -del file "c:\windows\system32\rotscxnspkwiwt.dll"
    lsrd1exp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxeseexnqq"
    lsrd1exp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\rotscxeseexnqq"
    lsrd1exp.exe -reboot
    Повторите лог.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Ввел скрипт, появились сообщения: an error 0x00000002 occured during the deletion of file: "c:\windows\system32rotscxnspkwiwtdll": не нйден указанный модуль, потом еще что-то и комп перезагрузился.
    Кстати при загрузке (после заражения) стали появляться сообщения, что не может найти или повреждены ntuser.dll, rundll32.exe, calc.dll.
    сейчас я делаю лог, как вы сказали.
    Последний раз редактировалось olmarik; 13.10.2009 в 01:34.

  14. #13
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Сделал. Жду дальнейших инструкций.
    Кстати, хотел спросить. каспер вирус тул уже удалять или он еще нужен? Антивирус включать или пусть защита будет отключенной пока я выполняю ваши рекомендации?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Ничего зловредного в логах нет.

    Цитата Сообщение от olmarik Посмотреть сообщение
    Кстати при загрузке (после заражения) стали появляться сообщения, что не может найти или повреждены ntuser.dll, rundll32.exe, culc.dll.
    Сейчас эта проблема присутствует?

    Добавлено через 2 минуты

    Цитата Сообщение от olmarik Посмотреть сообщение
    каспер вирус тул уже удалять или он еще нужен?
    Можете удалить.

    Цитата Сообщение от olmarik Посмотреть сообщение
    Антивирус включать или пусть защита будет отключенной пока я выполняю ваши рекомендации?
    Пока лечение не закончено, включать антивирус не нужно.
    Последний раз редактировалось Aleksandra; 13.10.2009 в 01:37. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Проблемы сохраняются. В частности, при загрузке появляется сообщение:
    rudll32.exe неверный образ - приложение или библиотека c:\...ntuser.dll не является образом программы для Windows NT. Проверьте назначение установочного диска. Затем второе сообщение: с:\...ntuser.dll %1 не является приложением Win32.
    У меня Виндоус XP нелицензионка с указанием (при загрузке) о ее нелицензионности.
    Что мне делать дальше или пока можно и так?

    Добавлено через 2 минуты

    Кстати, антивирус на автозагрузке и я каждый раз просто отключаю защиту от вирусов и т.д.

    Добавлено через 3 минуты

    и помоему при последнем лечении я не все его функции выключил. дал промашку
    Последний раз редактировалось olmarik; 13.10.2009 в 01:53. Причина: Добавлено

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Активного заражения в логах не видно.

    Цитата Сообщение от olmarik Посмотреть сообщение
    Что мне делать дальше или пока можно и так?
    Сделайте лог HijackThis. Как делать есть в правилах http://virusinfo.info/pravila.html
    Сердце решает кого любить... Судьба решает с кем быть...

  18. #17
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Вот. вроде сделал. Спасибо за то. что помагаете.
    Что скажете?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Пофиксите в HijackThis:

    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
    O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
    O4 - Startup: scandisk.lnk = ?
    Сделайте лог virusinfo_syscheck с помощью AVZ. Только скачайте свежую версию 4.32 и базы обновить не забудьте.
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    13
    Вес репутации
    31
    Вобщем, по крайней мере, перестали эти перенаправления/переадресация ссылок.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Ну это потому, что вирусов уже нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) olmarik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на Packed.Win32.TDSS.aa
      От TOSHIBA в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.03.2010, 22:11
    2. Ответов: 3
      Последнее сообщение: 11.02.2010, 15:01
    3. packed Win32.TDSS.aa
      От garigo в разделе Malware Removal Service
      Ответов: 12
      Последнее сообщение: 18.01.2010, 20:20
    4. packed.win32.tdss.aa
      От pretect в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 03.01.2010, 10:02
    5. Packed.Win32.Tdss.z
      От MorG в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.10.2009, 20:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01641 seconds with 17 queries