После ошибки amon.sys NOD32 и удаления этого нода, перестал включаться эксплорер - ошибка msdom2.dll нет, опера постоянно выключается, magent сломался...
После ошибки amon.sys NOD32 и удаления этого нода, перестал включаться эксплорер - ошибка msdom2.dll нет, опера постоянно выключается, magent сломался...
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\vp6dec_settings.cpl',''); QuarantineFile('C:\Documents and Settings\Паша\Шаблоны\A.kotnorB.com',''); QuarantineFile('C:\WINDOWS\System32\mswsock.dll',''); QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\System32\8-march.scr',''); QuarantineFile('C:\WINDOWS\System32\Crack.exe',''); QuarantineFile('C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DeleteFile('C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe'); DeleteFile('C:\WINDOWS\System32\ipv6monl.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.Код:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe"
Скрипт выполнили? Карантин прислали? Где логи?
Выполнил, карантин прислал
Файл сохранён как 070528_185807_virus_465aedff41ad0.zip
Размер файла 527367
MD5 d806afc3d7fd6dd8dd4c3c1da77d4fc1
Логи сейчас будут
Идея обновить НОД Вас не посетила? Вообще-то эта ошибка НОД связана с устаревшим драйвером Nvidia : http://support.microsoft.com/?scid=k...2635&x=14&y=14
Карантин проверяется, ждем логи.
Нод каждый день обновлял
Логи готовы
я имел ввиду не базы, а программу . Логи щас посмотрим , пока посмотрите результаты ВирусТоталComplete scanning result of "oreans32.sys", received in VirusTotal at 05.28.2007, 17:16:04 (CET).
Antivirus Version Update Result
CAT-QuickHeal 9.00 05.28.2007 Rootkit.Agent.ad
Aditional Information
File size: 33952 bytes
MD5: aad837bf3b475092fd515cd0842334e9
SHA1: 2f845acac30e40d5aea3ccf8d02f5226089366a5
Complete scanning result of "338.tmp", received in VirusTotal at 05.28.2007, 17:15:22 (CET).
Antivirus Version Update Result
AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
Fortinet 2.85.0.0 05.28.2007 PossibleThreat
F-Secure 6.70.13030.0 05.28.2007 W32/Malware
Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.Goldun.lw
Sophos 4.18.0 05.28.2007 Mal/Binder-C
Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware
Aditional Information
File size: 98008 bytes
MD5: 1b386a7f6eb10dfa93922e3b6e47796f
SHA1: bb968aecf4c3bdcee9a687dba36c6af5c1019669
Complete scanning result of "chist[1].exe", received in VirusTotal at 05.28.2007, 17:15:10 (CET).
Antivirus Version Update Result
AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
Fortinet 2.85.0.0 05.28.2007 PossibleThreat
F-Secure 6.70.13030.0 05.28.2007 W32/Malware
Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.Goldun.lw
Norman 5.80.02 05.28.2007 W32/Malware
Sophos 4.18.0 05.28.2007 Mal/Binder-C
Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware
Aditional Information
File size: 98008 bytes
MD5: 1b386a7f6eb10dfa93922e3b6e47796f
SHA1: bb968aecf4c3bdcee9a687dba36c6af5c1019669
Complete scanning result of "ipv6monl.dll", received in VirusTotal at 05.28.2007, 17:15:52 (CET).
Antivirus Version Update Result
AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.BZub.ip
McAfee 5039 05.25.2007 Spy-Agent.ba.gen
Sophos 4.18.0 05.28.2007 Mal/Cimuz-A
Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware
Aditional Information
File size: 66240 bytes
MD5: e9b530eef9219e2fe5f339eb0902d352
SHA1: 93823f55be38eb64b9a24f8c54a2a5645527efbe
Последний раз редактировалось Rene-gad; 28.05.2007 в 19:34.
iexplore.exe пропатчен трояном, как я понимаю. С выпадением NOD32 в осадок, скорее всего, просто совпало по времени. Или же выпадение было спровоцировано зверьём. Так что упомянутый файл надо взять с чистой системы (той же версии) или из дистрибутива. А вообще настоятельно рекомендуется накатить сверху Service Pack 2 и много-много заплаток россыпью. Тогда есть надежда, что в следующий раз придёте лечиться не на следующей неделе.
edit: выполните очистку реестра ручками. Тут все написано: http://www.trendmicro.com/vinfo/viru...2ECLN&VSect=Sn
думаю, что минут через 15 - среднестатистическая продолжительность незапятнаной жизни непатченной системы составляет 12 мин (Данные Sophos) . Дряни , как и следовало ожидать, полно. Вдобавок к непатченому Винду ещё и устаревшая Опера.
Для начала очистите систему от мусора: http://virusinfo.info/showthread.php...ewpost&t=10025
Выполните скрипт:
и повторите логи + boot_clr.logКод:begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\System32\vp6dec_settings.cpl'); BC_DeleteFile('C:\Documents and Settings\Паша\Шаблоны\A.kotnorB.com'); BC_DeleteFile('C:\WINDOWS\System32\8-march.scr'); BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
если установите СП2 - установите и IE7. Иначе поступите так, как написал pig - хотя это всё равно не надолгоiexplore.exe пропатчен трояном, как я понимаю
Последний раз редактировалось Rene-gad; 28.05.2007 в 20:11.
Все сделал, boot_clr.log не могу найти
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\шурик\\local settings\\temporary internet files\\content.ie5\\mwf1qbvn\\chist[1].exe - Trojan-Spy.Win32.BZub.if (DrWEB: Trojan.Popuper.497
- c:\\program files\\internet explorer\\iexplore.exe - Trojan.Win32.Patched.w
- c:\\windows\\system32\\ipv6monl.dll - Trojan-Spy.Win32.BZub.ip (DrWEB: Trojan.Popuper)
- c:\\windows\\system32\\mswsock.dll - Trojan-Proxy.Win32.Delf.an (DrWEB: Trojan.Proxy.1829)
- c:\\338.tmp - Trojan-Spy.Win32.BZub.if (DrWEB: Trojan.Popuper.497
Уважаемый(ая) Mutant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.