Junior Member
Вес репутации
62
Подозрение на заражение системных процессов
Недавно по своей глупости впустил на пк вирусню. следующие симптомы:
- инет прерывается после того как outpost издает следуещее
Подмена IP-адреса 255.255.255.255 A2-B1-20-00-03-00
после этого надо переподключать иначе не работает
- IE просит обновить инфу для какого-то dll иначе не работает
-исчезли из автозагрузки nod32 и outpost помогла переустановка + выставил запрет на все сетевые соединения кроме избранных, а до этого лезло окно с моим ip и сообщением о запросе соединения
очень нужна помощь!!!!
Вложения
Последний раз редактировалось Макcим; 31.05.2007 в 18:26 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mswsock.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\ServicePackFiles\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
Прислать весь
карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10106
Прикрепить файл boot_copy.txt из папки AVZ к вашему следующему сообщению.
P.s.
Не делать того, что не просили !
Последний раз редактировалось drongo; 31.05.2007 в 18:23 .
После выполнения скрипта от drongo
1. Пришлите карантин согласно приложению 3 правил.
2. Скачайте утилиту Winsockfix отсюда:
http://www.softpedia.com/progDownloa...oad-15337.html
3. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\ServicePackFiles\killer.exe.bak');
DeleteFile('C:\WINDOWS\ServicePackFiles\killer.exe');
DeleteFile('C:\WINDOWS\ServicePackFiles\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DelSPIByFilename('MSWSOCK.DLL',true);
AutoFixSPI;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\MSWSOCK.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
4. Если нарушится связь с интернетом, примените скачаную утилиту.
5. Сделайте новые логи.
I am not young enough to know everything...
@ Bratez я бы еще добавил команду по чистке директории TEMP
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
ответ на запрос
Сообщение от
drongo
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mswsock.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\ServicePackFiles\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
Прислать
весь
карантин согласно приложения 3 правил .
Загружать по ссылке:
http://virusinfo.info/upload_virus.php?tid=10106
Прикрепить файл boot_copy.txt из папки AVZ к вашему следующему сообщению.
P.s.
Не делать того, что не просили !
Карантин прикрепляю в данный момент согласно приложения 3
Вложения
Junior Member
Вес репутации
62
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
31.05.2007 17:49:29 AMON файл C:\Program Files\avz4\Quarantine\2007-05-31\bcqr00008.dat Win32/Rootkit.Agent.EY троян SUDARIKOF\user Событие при попытке доступа к файлу приложением C:\Program Files\WinRAR\WinRAR.exe.
31.05.2007 17:49:27 AMON файл C:\Program Files\avz4\Quarantine\2007-05-31\bcqr00007.dat Win32/Rootkit.Agent.EY троян SUDARIKOF\user Событие при попытке доступа к файлу приложением C:\Program Files\WinRAR\WinRAR.exe.
нод 32 начал ругаться при создании архива папки карантин от avz
мои действия?
Отключить НОД естессно. В правилах вроде бы написано.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Я разве чего-то не сделал?
Мой скрипт выполнили? Логи новые после этого сделали?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\01234567\\good[1].htm - Trojan-Banker.Win32.Banker.cqh (DrWEB: Trojan.PWS.Banker.9866) c:\\windows\\servicepackfiles\\services.exe - Trojan-Downloader.Win32.CWS.am (DrWEB: Trojan.DownLoader.23054) c:\\windows\\system32\\ipv6monl.dll - Trojan-Spy.Win32.BZub.ip (DrWEB: Trojan.Popuper) c:\\windows\\system32\\mswsock.dll - Trojan-Proxy.Win32.Delf.an (DrWEB: Trojan.Proxy.1829) c:\\windows\\temp\\startdrv.exe - Trojan-Dropper.Win32.Agent.bie (DrWEB: BackDoor.Bulknet)