И у меня simp_dll.dll.

[Bison]

NOD32 пытается убить simp_dll.dll, а она каждые три секунды восстанавливается. Ситуация похожа на описанную ранее в разделе "Помогите". simp_dll.dll идентифицируется как SpamTool.Win32.Agent.u.

Логи прилагаю.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Харитонова\букшелф\TRBookshelf_.dll.button.js','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

[Bison]

Скрипт выполнил, карантин закачал.

[Bison]

Склероз. Логи приложил.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Повторите логи. Я думал, AVZ сам справится. Придётся помочь.

[PavelA]

@Max Нужно искать причину. Эта dll, скорее всего следствие.
Есть еще вредные файлы,которых мы не видим.

[Bison]

Похоже эта дрянь самовосстанавливается по-прежнему.

[Макcим]

Есть расшареные папки или диски?

[Bison]

Расшаренные папки есть.

[PavelA]

Эта длл следы. Давай ее в карантин, а уже по ней попытаемся определить, что нам искать еще.
Сорри, если написал непонятно.

Уточню:
У Вас в посл. карантине она есть. Присылайте его, загоним на вирустотал, вскроем потроха, откуда она израстает.

[Макcим]

Расшаренные папки есть.

Можно их отключить на время лечения?

Эта длл следы.

Есть ещё TRBookshelf_.dll.button.js. Просьба, знающим JS, посмотреть этот файл.

[Bison]

Она не в карантине, а в Infected лежит. Зархивировал, сейчас отправлю. Остальные телодвижения завтра. Домой пора.

[Muffler]

Bison,

AVZ -> Файл -> Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\lsnat.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения, система перезагрузится.
После перезагрузки, пришлите нам карантин по правилам.

[Bison]

Скрипт выполнил, карантин отправил. Почему-то каждого файла по две штуки в карантине. Заархивировал все. Архив больше 4 метров получился.

[Muffler]

ntoskrnl.exe - я глянул одним глазом, помоему он пропатчен, посколько у меня сейчас нет возможности детально посмотреть файлы - давайте подождём ответа аналитиков.

[Bison]

Насчет ntoskrnl.exe грешен. Когда начал искать решение проблемы в интернете, наткнулся на совет заменить его на чистый. Чистый взял из темы об аналогичной проблеме. Потом почитал правила и решил им следовать.

[Muzzle]

ntoskrnl.exe - Virus.Win32.Sosisko.a. (по касперскому)
У вас есть дистрибутив с windows? или вы уже заменили ntoskrnl.exe?

[Muffler]

Антивирус Касперского умеет лечить этот вирус, так что если есть возможность скачайте пробную версию KAV, обновите базы и просканируйте все диски.

[Bison]

Касперский с ним справился, но пришлось повозиться. Может это совпадение, но он не мог обновиться через интернет, пока не убил Virus.Win32.Sosisco.a. Пришлось обновлять базы из сетевой папки. До обнаружения вируса в ntoskrnl.exe Каспер не считал simp_dll.dll вирусом и не удалял его. После удаления ntoskrnl.exe, Каспер стал удалять simp_dll.dll в вечном цикле, так как он по-прежнему восстанавливался. Пришлось прервать сканирование, подсунуть чистый ntoskrnl.exe, перезагрузиться и начать сканирование заново. После этого все прошло нормально.

Всем спасибо за помощь.

[Макcим]

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!