Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).
Логи прилагаю
Dr.Web выдает подозрение на Trojan.Dloader в папке временыых файлов Эксплорера (html-файл), сразу за этим выдает подозрение на Trojan.Dloader в папке временных файлов пользователя (exe-файл).
Логи прилагаю
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\gejd9j3jr.dll',''); DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll'); DeleteFile(' c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Добавлено через 4 минуты
Пофиксить:
Код:F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll O23 - Service: MicrosoftHelp - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE (file missing) O23 - Service: Performance Monitor Command Line Shell (Performance Monitor) - Unknown owner - C:\WINDOWS\perfmon.exe (file missing)
Последний раз редактировалось Kuzz; 06.07.2007 в 11:16. Причина: Добавлено сообщение
The worst foe lies within the self...
Карантин отправил.
Файл сохранён как 070706_122825_virus_468dfd29b8101.zip
Размер файла 57722
MD5 472a2a7c72333be987151d367a267321
строки пофиксил
Присланные файлы:
c:\windows\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Obfuscated.gp
C:\WINDOWS\system32\gejd9j3jr.dll - Trojan-Downloader.Win32.Small.ddx
Rogoff, обновите базы AVZ и сделайте логи заново, для того, чтобы убедится что файлы удалены.
Dr.Web, по идее, больше ругаться не должен.
обновил АВЗ, проверил, похоже что-то осталось
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
пофикситеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; DeleteFile('C:\WINDOWS\system32\gejd9j3jr.dll'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\Program Files\Hijackthis\backups\backup-20070706-172628-401.dll'); BC_DeleteSvc('MicrosoftHelp'); BC_DeleteFile('C:\WINDOWS\system32\SVCH0ST.EXE'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи.Код:O2 - BHO: (no name) - {20AD49A2-94F3-42bD-F434-2604812C897C} - (no file)
Странное дело, после выполнения скрипта, АВЗ снова находит вирусы. Может нужно под учетной записью с полными правами комп проверить? Потому что hijackthis ругается при сканировании...
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Ничего странного нет, если запускать AVZ под юзером с ограниченными правами, то драйвер его не загрузиться, стало быть AVZ не справиться
"у нас все ходы записаны "
запускайте AVZ с админскими правами (Run As...) и тогда уже скрипты лечения запускать .Код:Ошибка загрузки драйвера - проверка прервана [C0000061]
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделано
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
Всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Большое спасибо! Завтра постараюсь собрать файлы для базы.
Последний раз редактировалось Rogoff; 13.07.2007 в 07:17.
Закачал:
Файл сохранён как 070713_063056_virusinfo_files_OP2_4696e3e026765.zi p
Размер файла 847086
MD5 9fa15b2774b997f0e3f93a5867278f28
Смущает меня наличие красных записей в протоколе АВЗ в процессе выполнения скрипта по сбору файлов для базы. Или это нормально?
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.