Не знаю как бороться с этими вирусами.
Заранее спасибо
Не знаю как бороться с этими вирусами.
Заранее спасибо
Последний раз редактировалось marnast; 25.03.2007 в 15:53.
1. Пришлите virusinfo_cure.zip по ссылке Прислать запрошенные файлы
2. AVZ - Файл - Выполнить скрипт:
3. После перезагрузки пришлите virusinfo_8598_quarantine.zip через ту же ссылку, что и в п.1Код:begin ClearQuarantine; SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll',''); QuarantineFile('C:\WINDOWS\system32\nortons.dll',''); QuarantineFile('C:\WINDOWS\system32\cmdbcs.dll',''); QuarantineFile('c:\windows\system32\a658f900.exe',''); QuarantineFile('C:\WINDOWS\cmdbcs.exe',''); QuarantineFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WP27SHYJ\jh0315[2].exe',''); QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\yupxdnd.exe',''); CreateQurantineArchive(GetAVZDirectory+'virusinfo_8598_quarantine.zip'); RebootWindows(true); end.
На машине были трояны,ворующие пароли. Необходимо сменить пароли.
Последний раз редактировалось PavelA; 23.03.2007 в 18:59. Причина: Опоздал, но важное дополнение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
присланное (по DrWeb)
c:\syswsj4\svchost.exe - Trojan.PWS.Gamania
c:\sysdayn5\svchost.exe - Trojan.PWS.Gamania
c:\syswsj5\svchost.exe - Trojan.PWS.Gamania
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe - Trojan.MulDrop.5762
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe - Trojan.MulDrop.5762
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe - Trojan.MulDrop.5762
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe - Trojan.PWS.Gamania
C:\SysDayN5\Ghook.dll - Trojan.PWS.Gamania
C:\WINDOWS\system32\nortons.dll - Trojan.PWS.Wsgame
AVZ - Файл - Выполнить скрипт:
После перезагрузки повторите логи, надо посмотреть, что получилось и что ещё осталось.Код:begin SetAVZGuardStatus(true); DeleteFile('c:\syswsj4\svchost.exe'); DeleteFile('c:\sysdayn5\svchost.exe'); DeleteFile('c:\syswsj5\svchost.exe'); DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe'); DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe'); DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe'); DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe'); DeleteFile('C:\SysDayN5\Ghook.dll'); DeleteFile('C:\WINDOWS\system32\nortons.dll'); ExecuteSysClean; RebootWindows(true); end.
Там, по идее, ещё спамбот должен быть (rsvp32_2.dll). Не пришёл?
Загружаю повторно логи, файл rsvp32_2.dll не нашла, а что делать дальше?
Последний раз редактировалось marnast; 25.03.2007 в 15:53.
Выполните скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\sbhr.sys',''); QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll',''); QuarantineFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\sbapifs.sys',''); QuarantineFile('C:\WINDOWS\system32\udcpm.dll',''); QuarantineFile('C:\WINDOWS\system32\mppds.dll',''); QuarantineFile('c:\windows\system32\a658f900.exe',''); DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll'); DeleteFile('c:\windows\system32\a658f900.exe'); DeleteFile('c:\syswm1f\svchost.exe'); DeleteFile('c:\sysdayn5\svchost.exe'); DeleteFile('c:\syswsj4\svchost.exe'); DeleteFile('c:\sysad5c\svchost.exe'); DeleteFile('C:\SysAd5C\Ghook.dll'); DeleteFile('c:\SysDayN5\Ghook.dll'); DeleteFile('C:\WINDOWS\system32\nortons.dll'); DeleteFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe'); BC_ImportALL; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ. Вы сами прописывали адреса в файле Host?
Очистите кэш IE и корзину Windows.
Последний раз редактировалось pig; 24.03.2007 в 01:06.
Все сделала, адреса в хосте я сама не прописывала, не умею и не знаю как это делать, заранее спасибо
Последний раз редактировалось marnast; 25.03.2007 в 15:53.
Давайте попробуем прислать вот эти файлы -
Код:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\mppds.exe',''); QuarantineFile('C:\WINDOWS\nortons.exe',''); QuarantineFile('c:\windows\system32\a658f900.exe',''); QuarantineFile('C:\WINDOWS\system32\mppds.dll',''); QuarantineFile('C:\WINDOWS\system32\nortons.dll',''); CreateQurantineArchive(GetAVZDirectory+'8598_quarantine-2.zip'); end.
По касперскому:
avz00001.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00002.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00003.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00004.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00005.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00007.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00008.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00009.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00010.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00011.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00012.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00013.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00014.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00015.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00016.dta - Trojan-PSW.Win32.OnLineGames.es,
avz00017.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00018.dta - Trojan-PSW.Win32.OnLineGames.jj
avz00006.dta - Trojan-Dropper.Win32.Agent.beu
отправила файлы из карантина
Проверила систему CureIT, казалось бы чисто. Но после посещения интернета появляются те же вирусы. Стоит NOD 32. Что делать?
Последний раз редактировалось marnast; 28.06.2007 в 13:03.
1. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
2.Пофиксить в HijackThis( http://virusinfo.info/showthread.php?t=4491 )Код:begin SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD1.tmp\PopCapLoader.dll'); DeleteFile('C:\WINDOWS\system32\nortons.dll'); DeleteFile('C:\WINDOWS\nortons.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(True); end.
что это за чудо , кто знает ?Код:O23 - Service: 38FEFA20 - - (no file)
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)
Компьютер перезагрузится. Повторите логи п.10 и 12 правил.
Последний раз редактировалось drongo; 25.03.2007 в 13:00.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все сделала, что дальше
Последний раз редактировалось marnast; 28.06.2007 в 13:03.
В логах больше ничего подозрительного.
Проблема еще как-то себя проявляет?
Пока нет, но в интернет заходить боюсь
Большое спасибо всем за помощь, пока все тихо
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) marnast, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.