Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Вирус Brontok (заявка № 7564)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63

    Question Вирус Brontok

    Вобщем у меня проблемы с лечением этого вируса. HELP!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вроде бы АВЗ много почистил. Попробуйте перезагрузиться и сделать логи еще раз. Должно полегчать.

    Необходимо также почистить файл Hosts.
    Это сделать через АВЗ. (Сервис -- менеджер файл Hosts)
    Должна остаться одна строчка
    Код:
    127.0.0.1 localhost
    Куча всего у вас живет. А самая большая проблема - SP1.((
    Последний раз редактировалось PavelA; 18.01.2007 в 19:29. Причина: Добавил про Hosts
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    Сделал логи, вот что получилось.
    А насчет Hosts, почистил все, только никакой строчки не осталось(одна пустая). Она должна была там быть или ее самому написать??? у меня ее не было, а писать самому там как я понял нельзя.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В программе Hijackthis пофиксите строчки
    Код:
    O4 - HKLM\..\Run: [atmdiag] C:\WINDOWS\System32\atmconf.exe
    O4 - HKLM\..\Run: [shost] C:\WINDOWS\shost.exe s
    O20 - AppInit_DLLs:  ipxwersv.dll e1.dll confatm.dll atmstat.dll
    O20 - Winlogon Notify: atmmgr - C:\WINDOWS\SYSTEM32\atmmgr32.dll
    O20 - Winlogon Notify: wstdactx - C:\WINDOWS\System32\wstdactx.dll
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('PDBoot.exe','');
     QuarantineFile('C:\WINDOWS\System32\iproplus.dll','');
     QuarantineFile('C:\WINDOWS\System32\btxppanel.dll','');
     QuarantineFile('C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll','');
     QuarantineFile('C:\WINDOWS\shost.exe','');
     QuarantineFile('C:\WINDOWS\system32\atmperf.exe','');
     QuarantineFile('C:\WINDOWS\System32\ipxwersv.dll','');
     QuarantineFile('C:\WINDOWS\System32\e1.dll','');
     QuarantineFile('C:\WINDOWS\System32\confatm.dll','');
     QuarantineFile('C:\WINDOWS\System32\atmstat.dll','');
     QuarantineFile('C:\WINDOWS\system32\atmmgr32.dll','');
     QuarantineFile('c:\windows\system32\wstdactx.exe','');
     QuarantineFile('c:\windows\system32\vttimer.exe','');
     QuarantineFile('c:\windows\system32\s3hotkey.exe','');
     QuarantineFile('c:\windows\system32\pctspk.exe','');
     DeleteFile('C:\WINDOWS\system32\atmperf.exe');
     DeleteFile('C:\WINDOWS\System32\e1.dll');
     DeleteFile('C:\WINDOWS\System32\confatm.dll');
     DeleteFile('C:\WINDOWS\System32\atmstat.dll');
     DeleteFile('C:\WINDOWS\system32\atmmgr32.dll');
     DeleteFile('C:\WINDOWS\System32\ipxwersv.dll');
     DeleteFile('C:\WINDOWS\System32\wstdactx.dll');
     DeleteFile('C:\WINDOWS\shost.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    после перезагрузки содержимое карантина отправьте, как написано в прил.2 правил
    Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7564. И сделайте, пожалуйста, новые логи.
    Файл Hosts можно поправить, например, через тот же Hijackthis - кнопка "open the misc tools section" - "open hosts file manager" - добавьте строчку, которую указал PavelA

  6. #5
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    А какие файлы мне прислать в карантине???
    И у меня комп сам перезагрезился когда выполнялся скрипт в АВЗ, так и должно быть???
    И еще у меня не получилось в Hosts написать ту строчку, можно поподробнее как это сделать??

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    1.Прислать нужно те файлы, что попали в карантин, согласно Правил.
    2. Компьютер все правильно сделал. Он и должен был перезагрузиться.
    3. HijackThis - внизу справа Config.., далее сверху кнопка Misc Tools, Open hosts file manager -- далее добавляем строчку 127.0.0.1 localhost
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Цитата Сообщение от Evgeny Посмотреть сообщение
    И еще у меня не получилось в Hosts написать ту строчку, можно поподробнее как это сделать??
    Вот здесь всё очень хорошо описано http://virusinfo.info/showthread.php?p=35587#post35587
    Наше дело правое--победа будет за нами!!!

  9. #8
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    Вот я сделал логи.
    А Hosts у меня править все равно не получилось. Где точно в HijackThis надо это прописать??? там окошко есть но в нем ничего не пишется, потом открывался блокнот, я в нем прописывал, но сохранить не получалось, сохраняется только текстовый файл.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Файлы пришли не все. Из того, что пришло:
    C:\WINDOWS\System32\iproplus.dll - Win32.HLLM.Limar (по DrWeb)
    C:\WINDOWS\System32\e1.dll - Win32.HLLM.Limar.based (по DrWeb)
    C:\WINDOWS\System32\atmstat.dll - Win32.HLLM.Limar (по DrWeb)
    В программе Hijackthis пофиксите строки
    Код:
    O20 - AppInit_DLLs: e1.dll
    O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
    O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
    Программа AVZ - файл - выполнить скрипт - выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\KBHook.dll','');
     DeleteFile('e1.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. Если, после перезагрузки, в карантин AVZ попадет файл C:\WINDOWS\System32\KBHook.dll - пришлите его, как написано в прил. 2 правил. В системе полтора антивируса - установлен, вроде бы, DrWeb, а виден еще работающий драйвер Касперского - определитесь, чем вы пользуетесь.У вас DrWeb лицензионный? Обновляете не вручную? В любом случае, я бы предложил скачать CureIt! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и проверить систему, загрузившись в безопасном режиме. И еще: Windows XP SP1 ОФИЦИАЛЬНО не поддерживается Microsoft. Крайне рекомендуется поставить SP2 + все последующие дополнения. Только имейте в виду, что в вашем случае, после установки SP2, потребуется повторная активация Windows.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Червь выжил. Лечение придется продолжить.
    1.В AVZ Файл -- Выполнить скрипт.
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('\smsexpress.exe','');
     QuarantineFile('C:\WINDOWS\system32\atmstat.dll','');
     DeleteFile('e1.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Будет перезагрузка.
    После нее прислать то что попало в карантин.
    2. В Notepad набить строчку: 127.0.0.1 localhost
    Сохранить в директории C:\WINDOWS\SYSTEM32\drivers\etc с именем hosts.txt
    Затем переименовать его в файл hosts без расширения.
    3. Профиксить в hijackThis след. строки:
    Код:
    O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
    O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
    O20 - AppInit_DLLs: e1.dll
    4. Прошу хелперов обратить внимание на строчку:
    PDBoot.exeautocheck autochk * - что-то тут не так.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Numb Опередил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Лучше выполнить последовательно оба скрипта - два файла, которые добавил в карантин PavelA , я просмотрел . Или один, в таком виде
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\smsexpress.exe','');
     QuarantineFile('C:\WINDOWS\system32\atmstat.dll',''); 
     QuarantineFile('C:\WINDOWS\System32\KBHook.dll','');
     DeleteFile('e1.dll');
     Deletefile('C:\WINDOWS\system32\atmstat.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки пришлите все, что попадет в карантин. Файл hosts поправьте, как предложил PavelA. Остальные замечания остаются в силе.
    Последний раз редактировалось Numb; 19.01.2007 в 18:36. Причина: добавлен скрипт AVZ

  14. #13
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    1.В AVZ выполнил скрипт, карантин отослал.
    2.Hosts поправил.
    3.Профиксил строчки O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
    O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
    а вот этой -> O20 - AppInit_DLLs: e1.dll у меня нет.

  15. #14
    Geser
    Guest
    ПОвторите все логи. проблемы еще есть?

  16. #15
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    Сделал новые логи.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пофиксите ещё вот это:
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
    А так выглядит чисто.

  18. #17
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    Строку пофиксил.
    И еще у меня на флэш плеере были признаки вируса. Там во всех папках насоздавались exe шные файлы с названиями папок. Как мне его удалить, чтоб он опять комп не заразил. Если его просто подключить и форматнуть вирус на комп не перелезет?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если обновить Dr.Web, то можно попробовать им проверить флэшку.
    Лучше подумать о том как поставить SP2, а потом уже заниматься эксперимертами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    И иконки папок? Wukill, стало быть. Если флэшку воткнуть, сказать "Ничего не делать" и отформатировать, то ничего страшного, по идее, не будет.

  21. #20
    Junior Member Репутация
    Регистрация
    18.01.2007
    Сообщений
    16
    Вес репутации
    63
    Объясните незнающему, что прохого в том что у меня SP1 стоит?

  • Уважаемый(ая) Evgeny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 13
      Последнее сообщение: 10.12.2009, 20:24
    2. Вирус Win32:Brontok-CE [Wrm]
      От loveSKY в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:38
    3. Brontok.AQ
      От Andrey-G в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:45
    4. Вирус W32\Brontok.S
      От Barracuda в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.10.2007, 01:02
    5. помогите удалить вирус Brontok.a
      От M*NOK в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2006, 20:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00098 seconds with 20 queries