Показано с 1 по 5 из 5.

Помогите избавиться от Win32/AutoRun.FakeAlert.M (заявка № 61653)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2009
    Адрес
    Волгоград
    Сообщений
    34
    Вес репутации
    54

    Exclamation Помогите избавиться от Win32/AutoRun.FakeAlert.M

    Здравствуйте!
    Прошу вашей помощи...
    Компьютер заражен вирусами, "обычными" методами вылечиться не удается!
    В системе установлен ESS 4, базы постоянно обновляются.

    При загрузке системы ESS находит Win32/AutoRun.FakeAlert.M, удаляет его, но при очередной загрузке, он появляется снова...
    Так же, при загрузке системы, на панели задач появляются вкладки IE... которые через некоторое время пропадают. А в диспетчере задач появилось много сомнительных процессов, вроде "iexplore.exe" и "explope.exe"...

    Помогите, пожалуйста!
    Вот логи:

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Пофиксите с помощью Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
    O1 - Hosts: 78.159.120.31 www.google.com.ua
    O1 - Hosts: 78.159.120.31 google.com.ua
    O1 - Hosts: 78.159.120.31 google.ru
    O1 - Hosts: 78.159.120.31 www.google.ru
    O1 - Hosts: 78.159.120.31 start.qip.ru
    O1 - Hosts: 78.159.120.31 www.start.qip.ru
    O1 - Hosts: 78.159.120.31 search.qip.ru
    O1 - Hosts: 78.159.120.31 www.search.qip.ru
    O1 - Hosts: 78.159.120.31 google.com
    O1 - Hosts: 78.159.120.31 search.yahoo.com
    O1 - Hosts: 78.159.120.31 www.search.yahoo.com
    O1 - Hosts: 78.159.120.31 searchreinvented.com
    O1 - Hosts: 78.159.120.31 www.bing.com
    O1 - Hosts: 78.159.120.31 bing.com
    O1 - Hosts: 78.159.120.31 google.pl
    O1 - Hosts: 78.159.120.31 www.google.pl
    O1 - Hosts: 78.159.120.31 google.de
    O1 - Hosts: 78.159.120.31 www.google.pl
    O1 - Hosts: 78.159.120.31 search.ukr.net
    O1 - Hosts: 78.159.120.31 nova.rambler.ru
    O1 - Hosts: 78.159.120.31 search.icq.com
    O1 - Hosts: 78.159.120.31 portal.opera.com
    O1 - Hosts: 78.159.120.31 search.utorrent.com
    O1 - Hosts: 78.159.120.31 www.ask.com
    O1 - Hosts: 78.159.120.31 www.nigma.ru
    O1 - Hosts: 78.159.120.31 nigma.ru
    O1 - Hosts: 78.159.120.31 ru.search.yahoo.com
    O1 - Hosts: 78.159.120.31 www.ru.search.yahoo.com
    O1 - Hosts: 78.159.120.31 results.metabot.ru
    O1 - Hosts: 78.159.120.31 www.results.metabot.ru
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\program files\internet explorer\svcnost.exe');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\explope.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
     DeleteFile('C:\WINDOWS\system32\explope.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Help');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteRepair(9);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2009
    Адрес
    Волгоград
    Сообщений
    34
    Вес репутации
    54
    Venus Doom

    Все выполнил...
    После выполнения скрипта в AVZ, ESS нашел вирус - "C:\WINDOWS\system32\Drivers\vdmwndm4.sys
    Про FakeAlert молчит...

    Карантин выслал...
    Файл сохранён как
    091129_035857_quarantine_4b11c75202b36.zip
    Размер файла 81849
    MD5 adc863de14b9c7fb8623a4786219c58d

    Вот новые логи:

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Пофиксите с помощью HJT:
    Код:
    O20 - Winlogon Notify: agqvifwj - agqvifwj.dll (file missing)
    Что с проблемой?

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cvmb ( DrWEB: Trojan.DownLoad1.11694, NOD32: Win32/Delf.OVP trojan )
      2. c:\program files\microsoft common\svchost.exe - Trojan.Win32.Vilsel.odw ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: Win32:AutoRun-AZS [Wrm] )
      3. c:\windows\system32\explope.exe - Trojan-Clicker.Win32.Delf.cxi ( BitDefender: Trojan.Generic.2779259, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Музык@нт, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 15.01.2010, 07:33
    2. Win32/AutoRun.FakeAlert.M
      От cruel_hedgehog в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2009, 01:13
    3. Помогите избавиться от Win32/AutoRun.FakeAlert.CH
      От Музык@нт в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 09.09.2009, 15:15
    4. помогите избавиться от червя AutoRun.FakeAlert.M
      От osenne_ja в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 22:38
    5. Помогите избавиться от Win32/AutoRun.FakeAlert.AF
      От Сергей А.A в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 19.06.2009, 03:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01476 seconds with 19 queries