Помогите с вирусами (packed.monder; injector.ez; win32.virtu.56 и т. д.)

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Помогите с вирусами (packed.monder; injector.ez; win32.virtu.56 и т. д.)

Здравствуйте. Проблема с компьютером из за вирусов. На компе стоит Win XP sp3 + avg 8 free + outpost firewall 2009. Все началось с того момента когда avg нашел вирус packed.monder и injector.ez, лечить невозможно, нажал поместить в карантин. Обновление avg стало невозможным. После етого, outpost
firewall сигнализировал о том что какие то программки или ето службы прорываються в интернет, они мне неизвестны и я их блокировал, очень долго блокировал, и потом вроде все успокоилось. Перезагрузил комп - не могу подключить интернет (мой провайдер имеет свою разработаную программу для подключения к интернету), программа пишет "ошыбка 711" посмотрел в хелп файл от Виндовс там пишет что не запущена служба (не запомнил ее названия), потом зашел в панель управления - администрирование - службы, там такой службы я и вовсе не нашел. Потом хотел запустить некоторые программы - пишет что то вроде того что у меня нет прав. Хорошо что есть старенкий ноутбук, смог подключиться к интернету, нашел что то о packed.monder и скачал gmer.exe и
dds.scr. Они сначала сканировали, а потом виключался комп во
время сканирования. Я так понял толку от них - 0. Скачал DrWeb CureIt - сканировал он долго и все время находил вирус win32.virut(вроде или vitur).56 - написано было что лечил, приблизительно заражено было 800 файлов и ВСЕ EXE. Вируса packed.monder даже не было видно. Но все таки комп
не работает, переустанавливать Виндовс не хочу, поскольку есть важна информация. Скачал avz и hijackthis, сделал скан и вот прошу ВАШЕЙ ПОМОЩИ. Лог файлы прикрепляю. Заранее
http://forum.oszone.net/attachment.p...1&d=1250267148
ВСЕМ спасибо.

HunterDreVit, от АВЗ нужен ещё один лог. Внимательно читайте правила.

Извините, посмотрю и скину.

вот новые логи:

На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6T8FCZDC\lo[1].htm','');

 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1QNC1I7\des[1].htm','');

 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8P67SDI3\lo[1].htm','');

 QuarantineFile('C:\Documents and Settings\Hunter\Local Settings\Temporary Internet Files\Content.IE5\OQUDUT1X\lo7[1].htm','');

 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');

 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');

 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');

 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');

 QuarantineFile('C:\WINDOWS\EC.tmp','');

 TerminateProcessByName('c:\windows\msconfigs.exe');

 QuarantineFile('c:\windows\msconfigs.exe','');

 DeleteFile('c:\windows\msconfigs.exe');

 DeleteFile('C:\WINDOWS\EC.tmp');

 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');

 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');

 DeleteFile('C:\Documents and Settings\Hunter\Local Settings\Temporary Internet Files\Content.IE5\OQUDUT1X\lo7[1].htm');

 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8P67SDI3\lo[1].htm');

 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1QNC1I7\des[1].htm');

 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6T8FCZDC\lo[1].htm');

DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

немогу отправить письмо с quarantine.zip поскольку файл больше 10 мб, и почта касперского не принимает письма. что делать? а и первый скрипт наверное не до конца сработал, сообщение о ошибке, проверил синтаксис - вроде все нормально. что делать???????????????????????

Делайте новые логи

Ваш архив получил. В трех файлах (моим Касперским) найдены Backdoor.Win32.Bredolab.fr и Trojan-Dropper.Win32.Agent.azgo (2 шт.)
Еще два файла ушли в вирлаб

Пришел ответ

Цитата:

des[1].htm - Trojan.Win32.Buzus.bueg
msconfigs.exe - Trojan.Win32.Buzus.bueh

Детектирование файлов будет добавлено в следующее обновление.

По какой причине логи сделаны полиморфным AVZ? Не надо выкладывать лишние логи в архив. Нам нужны только virusinfo_syscheck.zip, virusinfo_syscure.zip и лог HiJack
Просьба сделать логи обычным AVZ (в нормальном режиме)

понял, сделаем

И так, лечение с помощью Dr.Web LiveCD и Kaspersky LiveCD ничего не помогло, сделал скан VBA32rescue livecd и VBA32check - тоже ничего, сделал все новые отчеты.
http://forum.oszone.net/attachment.p...1&d=1250844010
http://forum.oszone.net/attachment.p...1&d=1250844010
http://forum.oszone.net/attachment.p...1&d=1250844010
http://forum.oszone.net/attachment.p...1&d=1250844010
http://forum.oszone.net/attachment.p...1&d=1250844010

Столько всего полечил VBA, а Вы говорите не помогло...

На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Если G - это флэшка, то ее оставьте подключенной

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('G:\wdokog.pif','');

 DeleteFile('G:\autorun.inf');

 DeleteFile('G:\wdokog.pif');

QuarantineFile('C:\WINDOWS\system32\.\EC.tmp','');

 QuarantineFile('C:\WINDOWS\TEMP\VRT5B.tmp','');

 DeleteService('RasMan');

 DeleteFile('C:\WINDOWS\TEMP\VRT5B.tmp');

 DeleteFile('C:\WINDOWS\system32\.\EC.tmp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(13);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

АВЗ выдает ошибку:
Invalid data type for "
И все, что делать?

В моей подписи есть ссылка на полиморфный AVZ.
Попробуйте выполнить скрипт в нем.

полиморфный не запускается, пишет - Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому обьекту.
Но 2 дня назад я его запускал и он работал.

Отсюда можно сделать только один вывод: Вы не долечились до конца от файловых вирусов. Или повторно заразились с флэшки

так, скрипт выполнил в полиморфном авз и отправляю карантин, через 5

через 5 мин сделаю новые логи