Постоянно выскакивает сообщение, что система обнаружила спайвер, комп с трудом едет, антивирусы ничего не находят.
System Alert! в панеле задач
Постоянно выскакивает сообщение, что система обнаружила спайвер, комп с трудом едет, антивирусы ничего не находят.
Последний раз редактировалось Sad; 22.09.2008 в 16:09.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну вот, можно выполнять. Надеюсь ничего не пропустил из-за такой коллекции
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Загрузите файл virusinfo_8342_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=8342Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\zqeo.dll',''); QuarantineFile('C:\WINDOWS\system32\tlgwsvx.dll',''); QuarantineFile('C:\WINDOWS\system32\ugliwbil.dll',''); QuarantineFile('C:\WINDOWS\system32\oqrdiapx.dll',''); QuarantineFile('C:\WINDOWS\system32\efeqizb.dll',''); QuarantineFile('C:\WINDOWS\system32\yvpuyu.dll',''); QuarantineFile('C:\WINDOWS\system32\kwvexo.dll',''); QuarantineFile('C:\WINDOWS\system32\lctskwkg.dll',''); QuarantineFile('C:\WINDOWS\system32\webr.dll',''); QuarantineFile('winhdn32.dll',''); QuarantineFile('appmgmts.dll',''); QuarantineFile('C:\WINDOWS\system32\winhdn32.dll',''); QuarantineFile('C:\WINDOWS\system32\appmgmts.dll',''); QuarantineFile('C:\WINDOWS\system32\omxwoyca.dll',''); QuarantineFile('C:\WINDOWS\addins\loesvs.dll',''); QuarantineFile('C:\WINDOWS\system32\jcpltnn.dll',''); QuarantineFile('C:\WINDOWS\system32\geplxss.dll',''); QuarantineFile('C:\WINDOWS\system32\efeqizb.dll',''); QuarantineFile('C:\Program Files\SpyDawn\SpyDawn.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\igfxsrvc.dll',''); CreateQurantineArchive(GetAVZDirectory+'virusinfo_8342_quarantine.zip'); RebootWindows(true); end.
Последний раз редактировалось drongo; 11.03.2007 в 23:24.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Файл закачан, спасибо!
присланное - (по KAV)
C:\WINDOWS\system32\efeqizb.dll - Trojan.Win32.Obfuscated.ev
C:\WINDOWS\system32\webr.dll - AdWare.Win32.PurityScan.ak
C:\WINDOWS\system32\jcpltnn.dll - Trojan.Win32.Obfuscated.ev
C:\WINDOWS\system32\geplxss.dll - инфицирован Trojan.Win32.Dialer.cs
В архиве было только 6 файлов .от 1 до 5 нужно удалить , а под номером 6 оставить пока( это от интела примочка )
потенциально опасное ПО not-a-virus:FraudTool.Win32.SpyHeal.a Файл: avz00005.dta
троянская программа Trojan.Win32.Obfuscated.ev Файл:avz00001.dta
троянская программа Trojan.Win32.Dialer.cs Файл: avz00004.dta//PE_Patch.UPX//UPX
троянская программа Trojan.Win32.Obfuscated.ev Файл:avz00003.dta
программа-реклама not-a-virus:AdWare.Win32.PurityScan.ak Файл: avz00002.dta//PE_Patch.PECompact//PecBundle//PECompact
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
ребят, удалил с 1ого по 5ый, что дальше?
Почистить временные папки :
C:\Documents and Settings\Anton\Local Settings\Temp\
C:\Documents and Settings\Anton\Local Settings\Temp\Temporary Internet Files\Content.IE5\
Перегрузиться, сделать новые логи. Посмотрим, что осталось.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
новые логи
Последний раз редактировалось Sad; 22.09.2008 в 16:08.
Ничего вы не удалили.
Выполните скрипт:
Сделайте логи, начиная с 10-го пункта Правил.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\efeqizb.dll'); DeleteFile('C:\WINDOWS\system32\webr.dll'); DeleteFile('C:\WINDOWS\system32\jcpltnn.dll'); DeleteFile('C:\WINDOWS\system32\geplxss.dll'); DeleteFile('C:\Program Files\SpyDawn\SpyDawn.exe'); ExecuteSysClean; RebootWindows(true); end.
сделал
Последний раз редактировалось Sad; 22.09.2008 в 16:08.
Пофиксте в HijackThis следующие строки:
O2 - BHO: (no name) - {194F3908-49E3-D3C9-DCD2-06FF130D4FF7} - C:\WINDOWS\system32\efeqizb.dll (file missing)
O2 - BHO: (no name) - {2809C516-56F2-7406-A198-07D58553B4BA} - C:\WINDOWS\system32\yvpuyu.dll (file missing)
O2 - BHO: (no name) - {953F2B6F-E6DC-E507-F1DC-C2DEC8B15C91} - C:\WINDOWS\system32\kwvexo.dll (file missing)
O2 - BHO: (no name) - {B92F223D-B3DA-B80D-FF9C-96FB8A14229F} - C:\WINDOWS\system32\lctskwkg.dll (file missing)
O2 - BHO: (no name) - {C63D2D18-E0AF-C757-F1AD-B4DEB5C20DE6} - C:\WINDOWS\system32\webr.dll (file missing)
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\oqrdiapx.dll (file missing)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - C:\WINDOWS\system32\ugliwbil.dll (file missing)
O2 - BHO: (no name) - {F448986E-0BD3-297B-DB3F-5D9091A338EE} - C:\WINDOWS\system32\tlgwsvx.dll (file missing)
O2 - BHO: (no name) - {F71DC948-0CF4-0B2B-DB4E-2B90ECD33BCD} - C:\WINDOWS\system32\zqeo.dll (file missing)
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\omxwoyca.dll",setvm
O4 - HKCU\..\Run: [Bwer] "C:\WINDOWS\TASKS\winlogon.exe" -vt ndrv
O20 - Winlogon Notify: loesvs - C:\WINDOWS\addins\loesvs.dll (file missing)
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)
сделал
Последний раз редактировалось Sad; 22.09.2008 в 16:08.
Появилось то, чего не было в первых логах
Выполните скрипт в AVZ:
После перезагрузки загрузите файл virusinfo_8342_quarantine2.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php?tid=8342Код:begin SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\TАSKS\winlogon.exe',''); DeleteFile('C:\WINDOWS\TАSKS\winlogon.exe'); CreateQurantineArchive(GetAVZDirectory+'virusinfo_8342_quarantine2.zip'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Повторите логи, начиная с 10-го пункта Правил.
done
Последний раз редактировалось Sad; 22.09.2008 в 16:09.
@Andreyka
Может из-за этого удаляется не все dll-ки. Плюс куча открытых портов.
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
C:\WINDOWS\TАSKS\winlogon.exe - Adware.ClickSpring
Логи чистые.
Осталось только пофикить в HijackThis следующую строку:
System Alert! из панели задач пропал?O2 - BHO: (no name) - {04102CAD-F376-3C82-21BB-05B4BE7349F0} - C:\WINDOWS\system32\jcpltnn.dll (file missing)
Может, я просто не знаюСообщение от PavelA
что это значит. Поэтому и не предлагал фиксить.
А куча открытых портов, скорее всего, от eMule.
сделано
Алерт из панели пропал, спасибо) ещё что-нибудь нужно высылать или комп чист?
Уважаемый(ая) Sad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
