-
Junior Member
- Вес репутации
- 62
Помогите убить Backdoor.win32.small.os
Здравствуйте.
Касперский обнаруживает этот вирус, но вылечить не может. Постоянно создается файл perfc000.dat и параметр (не помню как называется) в реестре для его автозагрузки. Сейчас добавилась и еще одна проблема: загрузка ЦП процессом рнр.ехе, которых появляется 5-10 экземпляров.
PS: старалась четко следовать правилам. Пожалуйста, если не трудно, опишите нужные мне действия поподробней - я в этом вопросе чайник .
Последний раз редактировалось Natrix; 15.12.2007 в 13:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ -> Файл -> Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\NVCPL.DLL','');
QuarantineFile('C:\WINDOWS\system32\repl.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('c:\windows\smss.exe','');
QuarantineFile('c:\windows\dsrss.exe','');
DeleteFile('c:\windows\smss.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
DeleteFile('C:\WINDOWS\dsrss.exe');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.
После выполнения, система перегрузится.
После перезагрузки, отправте карантин AVZ нам по правилам.
И повторите п. 10-14 из правил.
-
-
Junior Member
- Вес репутации
- 62
Карантин отправила. Хочу заметить, что после выполнения скрипта компьютер не перезагрузился. Пришлось нажать ресет. Это нормально?
Еще вспомнила такие проблемы: не загружался безопасный режим и неработала автоматическая авторизация на форумах. Это тоже связано с вирусами?
Последний раз редактировалось Natrix; 15.12.2007 в 13:12.
-
Сообщение от
Natrix
Хочу заметить, что после выполнения скрипта компьютер не перезагрузился.
Это хорошо . Не хорошо, однако, не выполнять правила в точности: При выполнении логов нужно выключать все приложения, кроме АВЗ.
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\repl.dll');
BC_DeleteFile('\??\repl.dll');
DeleteFile('\??\swmclip.dll');
BC_DeleteFile('\??\swmclip.dll');
DeleteFile('\??\dsrss.exe');
BC_DeleteFile('\??\dsrss.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 62
Извиняюсь за нарушение. Если опять что не так, ткните, пожалуйста, конкретно А то так и не пойму в чем дело.
Мне добавилась новая проблема. Мой провайдер сказал, что с моего адреса идут дос-атаки на сервер. Help!!!
Последний раз редактировалось Natrix; 15.12.2007 в 13:12.
-
Junior Member
- Вес репутации
- 62
Возникли сомнения. При выполнении ваших скриптов восстановление системы должно быть все еще выключено? Если да, то когда его нужно включать и надо ли мне запустить скрипт еще раз?
-
Восстановление системы должно быть выключено.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)
O2 - BHO: Hook Class - {DBA0F35F-BCD6-4602-863A-96893E4DE018} - C:\WINDOWS\system32\repl.dll (file missing)
O21 - SSODL: VStorage - {ED20A579-49F4-41A4-A30C-7336A9383EDC} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
QuarantineFile('C:\WINDOWS\system32\ati2sgag.exe','');
QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\muid.exe','');
QuarantineFile('C:\WINDOWS\system32\exportl.exe','');
QuarantineFile('C:\WINDOWS\system32\12520850h.exe','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
Не очень удачно. Выполните еще этот скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
I am not young enough to know everything...
-
-
Плюс вот такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\repl.dll','');
BC_DeleteFile('C:\WINDOWS\system32\repl.dll');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
После выполнения, система перегрузится.
После перезагрузки, отправте карантин AVZ нам по правилам.
И повторите п. 10-14 из правил.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
Карантин отправлен.
-
Junior Member
- Вес репутации
- 62
Сообщение от
Muffler
После перезагрузки, отправте карантин AVZ нам по правилам.
И повторите п. 10-14 из правил.
Готово.
Последний раз редактировалось Natrix; 15.12.2007 в 13:12.
-
Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\LogWatNT.exe
Поищите вручную эти два файла.
Но если Вы скажете, что их нет, а проблема остается - тогда я пас
I am not young enough to know everything...
-
-
Сообщение от
Bratez
Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\LogWatNT.exe
Поищите вручную эти два файла.
Но если Вы скажете, что их нет, а проблема остается - тогда я пас
Скорее всего они в базе безопасных...
-
-
Natrix, узнайте у провайдера, есть ли ещё дос атаки с вашего IP.
Если нет, значит больше зверей в системе нет.
Также, измените все пароли(email, icq и т д).
Вот список того что было найдено и убито у вас в системе:
Backdoor.Win32.Small.os
Trojan-Spy.Win32.Webmoner.ce,
Trojan-Proxy.Win32.Procin.j,
Trojan-Spy.Win32.Sters.an,
Trojan-Spy.Win32.KeyLogger.lp
+
последний был скорее всего Trojan.Win32.Agent.agx
-
-
Junior Member
- Вес репутации
- 62
-
Junior Member
- Вес репутации
- 62
Какой огромный список! Огромное спасибо!
Атак сейчас вроде нет.
А то, что эти файлы остались не страшно? И perfc000.dat по-прежнему присутствует.
Восстановление системы можно включать?
-
C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility for WindowsNT and Windows9X
C:\WINDOWS\LogWatNT.exe - belongs to the software Computer Associates LogWatNT
perfc000.dat - удалите вручную...
Проверте загрузку системы в SafeMode. Если не загружается, тогда выполните вот такой скрипт:
Код:
begin
ExecuteRepair(10);
end.
После этого можна включить восстановление системы.
-
-
Junior Member
- Вес репутации
- 62
Файл удалила. Два первых тоже надо удалить?
Скрипт выполнила, но не помогло
-
Два первых тоже надо удалить?
Не надо!
-