NOD32 пытается убить simp_dll.dll, а она каждые три секунды восстанавливается. Ситуация похожа на описанную ранее в разделе "Помогите". simp_dll.dll идентифицируется как SpamTool.Win32.Agent.u.
Логи прилагаю.
NOD32 пытается убить simp_dll.dll, а она каждые три секунды восстанавливается. Ситуация похожа на описанную ранее в разделе "Помогите". simp_dll.dll идентифицируется как SpamTool.Win32.Agent.u.
Логи прилагаю.
Скрипт выполнил, карантин закачал.
Склероз. Логи приложил.
Выполните скрипт в AVZ
Повторите логи. Я думал, AVZ сам справится. Придётся помочь.Код:begin BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
@Max Нужно искать причину. Эта dll, скорее всего следствие.
Есть еще вредные файлы,которых мы не видим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Похоже эта дрянь самовосстанавливается по-прежнему.
Есть расшареные папки или диски?
Расшаренные папки есть.
Эта длл следы. Давай ее в карантин, а уже по ней попытаемся определить, что нам искать еще.
Сорри, если написал непонятно.
Уточню:
У Вас в посл. карантине она есть. Присылайте его, загоним на вирустотал, вскроем потроха, откуда она израстает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Она не в карантине, а в Infected лежит. Зархивировал, сейчас отправлю. Остальные телодвижения завтра. Домой пора.
Bison,
AVZ -> Файл -> Выполнить скрипт:
После выполнения, система перезагрузится.Код:begin SearchRootkit(true, true); ClearQuarantine; SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\lsnat.sys',''); QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После перезагрузки, пришлите нам карантин по правилам.
Последний раз редактировалось Muffler; 16.07.2007 в 21:49.
Скрипт выполнил, карантин отправил. Почему-то каждого файла по две штуки в карантине. Заархивировал все. Архив больше 4 метров получился.
ntoskrnl.exe - я глянул одним глазом, помоему он пропатчен, посколько у меня сейчас нет возможности детально посмотреть файлы - давайте подождём ответа аналитиков.
Насчет ntoskrnl.exe грешен. Когда начал искать решение проблемы в интернете, наткнулся на совет заменить его на чистый. Чистый взял из темы об аналогичной проблеме. Потом почитал правила и решил им следовать.
ntoskrnl.exe - Virus.Win32.Sosisko.a. (по касперскому)
У вас есть дистрибутив с windows? или вы уже заменили ntoskrnl.exe?
Антивирус Касперского умеет лечить этот вирус, так что если есть возможность скачайте пробную версию KAV, обновите базы и просканируйте все диски.
Касперский с ним справился, но пришлось повозиться. Может это совпадение, но он не мог обновиться через интернет, пока не убил Virus.Win32.Sosisco.a. Пришлось обновлять базы из сетевой папки. До обнаружения вируса в ntoskrnl.exe Каспер не считал simp_dll.dll вирусом и не удалял его. После удаления ntoskrnl.exe, Каспер стал удалять simp_dll.dll в вечном цикле, так как он по-прежнему восстанавливался. Пришлось прервать сканирование, подсунуть чистый ntoskrnl.exe, перезагрузиться и начать сканирование заново. После этого все прошло нормально.
Всем спасибо за помощь.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) Bison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.