Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Появился Downloader (заявка № 10966)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64

    Thumbs up Появился Downloader

    Здравствуйте!:-)
    Возникла такая неприятная проблема.
    Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
    Все пунты Правил выполнил.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Отключитесь от сети.
    Закройт все программы. Отключите антивирус.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
     QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
     DeleteFile('E:\WINDOWS\system32\ntos.exe');
     ExecuteSysClean;
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Скрипт выполнил и закачал карантин.
    Жду от Вас вестей.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    ntos.exe - Trojan-Spy.Win32.Bancos.aam.

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Как я понимаю, мне надо удалить этот файл, да?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Его уже удалили. Это просто к сведению.

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Просто дело в том, что SAV, всё равно, выдаёт этот вирус

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    12520437b.exe - Backdoor.Win32.IRCBot.abc

    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe
    Повторите логи.

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Спасибо, сейчас выполню указания.

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Всё выполнил!Вот новые получившиеся логи.
    Что можете сказать, док?
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteSvc('SCardSvrERSvc');
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,
    Повторите логи.

  13. #12
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Вот, какие логи получились в этот раз. По-моему, всё чисто.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.

  15. #14
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Будет сделано! :-)

  16. #15
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Удалил указанный вами файл. Вот лог.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?

  18. #17
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Нет, ничего такого не имеется.

    Добавлено через 1 минуту
    а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
    Последний раз редактировалось ghostil; 11.07.2007 в 13:48. Причина: Добавлено сообщение

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.

  20. #19
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    к сожалению, остатков нет

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    У вас есть дистрибутив Windows XP SP2?

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.03.2010, 12:00
    2. Ответов: 6
      Последнее сообщение: 22.12.2009, 13:03
    3. Появился, порнобаннер
      От okurok126 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.08.2009, 20:04
    4. появился cologsver.exe
      От refzul в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.12.2007, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01644 seconds with 19 queries