Перейти к содержанию
Правила раздела

Adware.CWSIEFeats, Trojan.Blusod и Joke.Blusod

sana

От sana
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sana Новичок

sana

Опубликовано
Опубликовано (изменено)

В общем словил бяку

Действие выражается в следующем при запуск Windows XP SP2 вместо фонового рисунка "белая простынь" (фон рабочего стола белый)

Дальше начинает ругаться Symantec AntiVirus:

1. находит Adware.CWSIEFeats кроме как изолировать ничего сделать с ним не может

2. обнаруживаются Trojan.Blusod и Joke.Blusod первого удаляет в количестве 13...15 штук второго пишет - не исправлен

Все зараженые файлы находятся на C:\windows\system32\

 

Файлы заразы удалить не дает, пишет, что не может применить выбранное действие к файлам

 

При запуске ПК в Безопасном режиме, бяки не обнаруживаются ни Symantec AntiVirus ни Curelt! Dr.Web

 

При восстановлении фонового рисунка, все держиться до следующей перезагрузки, там все поновой

 

Пробовал лечить кроме Symantec AntiVirus, еще и Curelt! Dr.Web результат нулевой. Не излечивается

Антивирусы со свежими базами

Прикладываю логи сделанные по инструкции с форума

Жду помощи!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено пользователем sana
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\lphcgbbj0e9dj.exe','');
TerminateProcessByName('c:\windows\system32\lphcgbbj0e9dj.exe');
DeleteFile('c:\windows\system32\lphcgbbj0e9dj.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
sana Новичок

sana

Опубликовано
  • Автор
Опубликовано

Сделал. Жду ответ.

 

я извиняюсь может я чего не так сделал, но тем не менее сообщу как есть

 

После того как выполнил второй скрипт, и отправил письмо с файлом из карантина, заметил, что в трее нет значка Symantec AntiVirus, ну думаю видимо скриптами отключается он, а раз все, что советовали сделал, то решил включить Симантек Антивирус обратно.

Он сразу в автоматическом режиме обнаружил Trojan Horse которого он же успешно изолировал, после чего получилось удалить его к едрене фене из компа

 

Ну думаю раз бяку отловили, попробую настройки Рабочего стола установить и перезагрузиться, и о чудо, все загрузилось и Symantec AntiVirus работает в режиме автомата и ни на кого не ругается

 

Это значит что излечен комп?

 

Вобщем жду ответ на письмо, после отпишусь сюда с логами

 

Премного благодарен за оперативную помощь

Ссылка на комментарий
Поделиться на другие сайты
sana Новичок

sana

Опубликовано
  • Автор
Опубликовано (изменено)

2Гриша Тоесть Симантек драйвер AVZ идентифицирует и называет Троянским Конем?

Бугага Ладно хоть не Земляным Червяком. Неужели так нелюбят друг друга антивирусники

Тем не менее после этого Всё грузится нормально нет "белой простыни" на рабочем столе и работающий в автомате Симантек больше не обнаруживает вирусов Adware.CWSIEFeats, Trojan.Blusod и Joke.Blusod и вообще не обнаруживает каких-либо паразитов. Все как бы хорошо, и в это хочется верить.

 

Получил письмо от поддержки Касперского, на английском языке цитирую сюда:

 

"Hello. This file is already detected. Please update your bases.

 

Please quote all when answering. Do not forget to include you registration data.

-----------------

Regards, Tatarinov Ivan

Virus Analyst, Kaspersky Lab."

 

И чего мне делать? Какие базы к какому продукту обновить? И наверно его еще и купить надо предварительно?

Классная служба поддержки! Спасибо Татаринову Ивану за содержательный ответ!

 

Сейчас пишу с рабочего компа, вирусня была дома, приду вечером сделаю логи выложу сюда

 

Спасибо всем!

Изменено пользователем sana
Ссылка на комментарий
Поделиться на другие сайты
Kapral Мудрец

Kapral

Опубликовано
Опубликовано
акие базы к какому продукту обновить? И наверно его еще и купить надо предварительно?

1. Обычно запросы в вирлабы идут к своему антивирусу? не так ли?

т.е. пользуешься антивирусом от ЛК - новые вирусы посылаешь в ЛК

т.е. пользуешься антивирусом от Симантек - новые вирусы посылаешь в Симантек

 

2. Это шаблон ответа. я то же такие получал. :) (ну не успел я первым доставить зверька в ЛК :))

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
2Гриша Тоесть Симантек драйвер AVZ идентифицирует и называет Троянским Конем?

 

И не только Симантек. А Вы что думаете АВЗ так просто гуляет по компу? Необходимо отключать Антивирус при выполнеии скриптов в АВЗ.

 

И чего мне делать? Какие базы к какому продукту обновить? И наверно его еще и купить надо предварительно?

Классная служба поддержки! Спасибо ... за содержательный ответ!

 

Простите, Вы на фанклуб какого продукта пришли? Не понимаю какие притензии? Вам ответили вполне нормально, что продукты ЛК уже детектят эту заразу. Дальше Ваше дело каким антивирусом пользоваться.

Ссылка на комментарий
Поделиться на другие сайты
sana Новичок

sana

Опубликовано
  • Автор
Опубликовано (изменено)

Да я вообще-то без претензий, и всем откликнувшимся в теме благодарен и признателен

А ответ службы поддержки Российского продукта российскому обращающемуся на английском языке помоему не сильно привлекает к приобретению продукта. Вы же мне, например, не на англицком отвечали, за что я вам еще раз низко кланяюсь

 

Вобщем ничего не делал кроме того что написал выше, вот логи, если не сильно напрягу, то посмотрите буду рад комментариям, излечен мой комп или нет?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено пользователем sana
Ссылка на комментарий
Поделиться на другие сайты
Kapral Мудрец

Kapral

Опубликовано
Опубликовано
А ответ службы поддержки Российского продукта российскому обращающемуся на английском языке

Это в саппорте ЛК что ли?

и как обращались?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Простите, если показался Вам излишне резким, не хотел.

 

В логах врагов не видать, как система?

 

Это в саппорте ЛК что ли?

 

Нет аналитики ответили по карантину. Ну шаблон такой у человека. что ж тут делать. Иногда вообще без Штирлица ответ не разобрать. что ж тут поделашь :)

Ссылка на комментарий
Поделиться на другие сайты
Kapral Мудрец

Kapral

Опубликовано
Опубликовано

Если вирлаб - то вполне может быть

особенно если почтовый ящик в зоне .com :)

 

Кто писал в вирлаб - вспомните - сколько там русских слов в письме :)

у меня обычно нету

subj: Virus?

body: password: virus

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Ну я когда отсылаю письмо - то всегда пишу на русском и тему, и письмо на русском, кроме пароля, а ответы приходят на разных языках :)

Ссылка на комментарий
Поделиться на другие сайты
Kapral Мудрец

Kapral

Опубликовано
Опубликовано

В общем мне тоже приходят ответы и на англ. и на русс. - лично мне все равно на каком ответ, меня волнует только вердикт

пакость/не пакость :)

Ссылка на комментарий
Поделиться на другие сайты
sana Новичок

sana

Опубликовано
  • Автор
Опубликовано (изменено)
В логах врагов не видать, как система?

 

Да все работает, Симантек никого не обнаруживает

 

Еще раз благодарю всех откликнувшихся!

 

Вы мне очень помогли!

Изменено пользователем sana
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...