-
Junior Member
- Вес репутации
- 54
Вирус! Выручайте!
поймал у меня бухгалтер вирус. неизвестно как и откуда. признаваться где была не хочет. начал было лечение, антивиры не видят его. погуглил и наткнулся на 2 подобных случая у вас. попробовал оба метода:
1. http://virusinfo.info/showthread.php?t=57724
2. http://virusinfo.info/showthread.php?t=61149
ни один не помог. выручайте меня.
логи прикладываю.
Последний раз редактировалось ДИМАС; 12.01.2010 в 12:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Отключите восстановление системы
2) Выполните скрит в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\photo_id.exe');
TerminateProcessByName('c:\documents and settings\Бухгалтер1\photo_id.exe');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe','');
QuarantineFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe','');
DeleteService('mpr_freader');
QuarantineFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('c:\windows\system32\photo_id.exe','');
QuarantineFile('c:\documents and settings\Бухгалтер1\photo_id.exe','');
DeleteFile('c:\documents and settings\Бухгалтер1\photo_id.exe');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\tugts8yz.SYS');
DeleteFile('C:\DOCUME~1\14DAC~1\LOCALS~1\Temp\RarSFX0\mpr_freader.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Бухгалтер1\Главное меню\Программы\Автозагрузка\nntsys32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[10.exe');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[11.exe');
DeleteFile('C:\Documents and Settings\Бухгалтер1\DoctorWeb\Quarantine\eztpvl[1].exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте все логи по правилам:
- virusinfo_syscure.zip
- virusinfo_syscheck.zip
- hijackthis.log
-
-
Junior Member
- Вес репутации
- 54
файл отправлен:
Файл сохранён как 091126_073053_virus_4b0e047d6881f.zip
Размер файла 1142761
MD5 75aa5cf7167c2e349d1cbaee84b0b61d
табличка исчезла!
интернет работает!
-
Карантин получили.
Логи для контроля всё же желательно повторите.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось ДИМАС; 12.01.2010 в 12:53.
-
В логах чисто.
Осталось почистить папку System Volume Information (Восстановления системы):
Выполните скрит в AVZ:
Код:
begin
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073987.exe');
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073988.exe');
DeleteFile('C:\System Volume Information\_restore{9A5D1CF8-7C59-4960-928B-5278CC7D96B5}\RP671\A0073989.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[1].exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[10.exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\doctorweb\quarantine\eztpvl[11.exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autohit.6770, BitDefender: Gen:Trojan.Heur.AutoIT.umNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
- c:\documents and settings\бухгалтер1\photo_id.exe - Trojan-Downloader.Win32.Mutant.gsl ( DrWEB: Trojan.Click.29425 )
- c:\documents and settings\бухгалтер1\главное меню\программы\автозагрузка\nntsys32.exe - Backdoor.Win32.Bredolab.bcj ( DrWEB: Trojan.Botnetlog.11, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\tugts8yz.sys - Trojan-Ransom.Win32.Agent.hb ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )
- c:\windows\system32\photo_id.exe - Trojan-Downloader.Win32.Mutant.gsl ( DrWEB: Trojan.Click.29425 )
-