15.03.2009, 04:12 | #1 (ссылка) |
Новичок
Регистрация: 15.03.2009
Сообщений: 1
Репутация: 0
|
Помогите! Вирус!
Постоянно выскакивает окно с вирусом файл
C:\WINDOWS\System32\seuvbqth.pw модифицированный Win32/Conficker.AE червь Не помогает ни лечение, ни удаление, он появляется снова...из за него пропадает звук в колонках, приходиться перезагружаться, хотя потом опять вылазит! Сканировала Нод 32 - не распознает( Сканировала Др.Веб(ом) - тоже не нашло. Проверила AVZ вот логРежим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082880) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559880 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (8056E9A9->F76DF0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056F0B0->F76E4E2C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F76E51BA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (80567EFB->F76DF0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056EDB9->F76E5292), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B303->F76E5112), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (8057516D->F76E5324), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82B641E8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82B641E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 820222E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 820222E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 820222E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 820222E8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 820222E8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 30 Количество загруженных модулей: 388 Проверка памяти завершена 3. Сканирование дисков C:\Documents and Settings\Администратор\Local Settings\Temp\GGG65.tmp >>>>> Trojan-Downloader.Win32.Agent.zje успешно удален C:\Documents and Settings\Администратор\Local Settings\Temp\~DFD8CA.tmp/{MS-OLE}/\__recip_version1.0_#00000013\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\Documents and Settings\Администратор\Local Settings\Temp\~DFF98C.tmp/{MS-OLE}/\__recip_version1.0_#00000006\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\Documents and Settings\Администратор\Local Settings\Temp\~DFFA77.tmp/{MS-OLE}/\__recip_version1.0_#0000002A\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\Documents and Settings\Администратор\Рабочий стол\Вход для всех\Рабочий стол\Setup.exe >>>>> AdvWare.Win32.Zango.e успешно удален Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys Автоматическая чистка следов удаленных в ходе лечения программ 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> C:\Program Files\bitaccelerator\bitaccelerator.* ЭПС: подозрение на Файл с подозрительным именем Ошибка карантина файла, попытка прямого чтения (C:\Program Files\bitaccelerator\bitaccelerator.*) Карантин с использованием прямого чтения - ошибка Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) И тут этого вируса не обнаружено, зато обнаружено новые, которые не удаляются никак... И что это за перехватчики? Подскажите, что делать? |
15.03.2009, 05:52 | #2 (ссылка) |
Мастер
|
AVZ с новыми базами вроде уничтожает этот вирус.
http://exfile.ru/26793 скачай архив. Создай папку C:\Kido Затем распакуй архив что получилось так C:\Kido\kidokiller.exe Запусти из командной строки такой командой C:\Kido\kidokiller.exe -r -f -y -l report.txt -v |
15.03.2009, 11:23 | #3 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Видимо тут http://pchelpforum.ru/f26/t6442/#post37758 для китайцев расписано полстраницы пошаговых действий...
|
19.03.2009, 20:45 | #5 (ссылка) | |
Новичок
Регистрация: 15.11.2008
Сообщений: 1,040
Репутация: 40
|
Цитата:
|
|
20.03.2009, 16:48 | #6 (ссылка) | |
Новичок
Регистрация: 28.01.2009
Сообщений: 80
Репутация: 1
|
Цитата:
|
|
20.03.2009, 17:02 | #7 (ссылка) | |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-55DE3E1D.EXE Перезагрузиться. Еще в avz выполните стандартный скрипт №3 (при условии что будет подключен телефон и флешка). Как выполнять написано в инструкции Последний раз редактировалось 01pump; 20.03.2009 в 17:08. |
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помогите удалить вирус | t1tanium | Безопасность | 4 | 22.11.2010 20:08 |
ПОМОГИТЕ!!! Вирус!!! | IDen | Безопасность | 19 | 04.10.2010 19:55 |
Помогите! Вирус! | FedorKonuhov | Безопасность | 2 | 25.08.2010 12:48 |
ПОМОГИТЕ, похоже на вирус! | wator | Безопасность | 8 | 08.08.2010 12:46 |
Подозрения на вирус, помогите | finol79 | Безопасность | 15 | 13.05.2010 23:40 |
То ли вирус,то ли видеокарта..помогите.. | Andrey888_495 | Железо | 16 | 30.10.2009 14:52 |
Помогите удалить вирус. | beznosa | Безопасность | 6 | 29.07.2009 18:34 |
ПОМОГИТЕ !!ВИРУС!!! | вика | Безопасность | 20 | 09.07.2009 03:34 |
Помогите! Вирус | Мария007 | Безопасность | 6 | 20.06.2009 01:33 |
Помогите плз вирус! | AAA1 | Безопасность | 3 | 21.02.2009 19:07 |
Помогите Вирус!!!!Срочно!!! | goldrex | Безопасность | 5 | 08.12.2008 19:24 |