подхватил Backdoor.Win32.Poison.b, он стал коннектиться в инет, пришлось заблокирывать IE файрволлом.
Вроде как удалось вылечить его KAV, iexplore перестал ломиться в интернет, но в диспетчере задач все равно висит iexplore.exe
Backdoor.Win32.Poison.b
подхватил Backdoor.Win32.Poison.b, он стал коннектиться в инет, пришлось заблокирывать IE файрволлом.
Вроде как удалось вылечить его KAV, iexplore перестал ломиться в интернет, но в диспетчере задач все равно висит iexplore.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пожалуйста скачайте актуальную версию AVZ 4,25 у вас устаревшая... и повторите логи...
извиняюсь =)
з.ы. и что делать с карантином? там после установки новой версии аж на 30+ мб файлов обнаружилось =)
Последний раз редактировалось zasadez; 29.08.2007 в 02:01.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,rundll32.exe start O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\win32Gl\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32:regedt.exe',''); QuarantineFile('C:\Program Files\21cn\VGO\VGOIEBHO.dll',''); QuarantineFile('start.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
пофиксил, скрипт выполнил,карантин отослал
при загрузке компьютера в процессах продолжает висеть iexplore.exe
Поищите вручную с помощью AVZ файл start.exe.
Если найдется, пришлите по правилам.
Добавлено через 10 минут
Выполните скрипт в AVZ:
После перезагрузки запустите AVZ, откройте Сервис - Менеджер Active Setup и удалите строчки, в которых прописаны файлы, упомянутые в скрипте (если они там останутся).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32:regedt.exe'); DeleteFile('C:\Program Files\win32Gl\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 29.08.2007 в 14:57. Причина: Добавлено
I am not young enough to know everything...
скрипт выполнил, после ребута строчки удалил
iexplore.exe исчез
спасибо =)
Последний раз редактировалось zasadez; 29.08.2007 в 15:14.
start.exe не нашелся?
нетСообщение от Bratez
Тогда, очевидно, лечение окончено.
Для контроля сделайте логи, начиная с п.10 правил.
I am not young enough to know everything...
логи приложил
файл
I:\la2\system\d3d9.dll не хочет удалятся, его в этой папке быть не должно. можно конечно убить через 2 систему, но на всякий случай выслал его через форум
почему Вы так в этом уверены? ИМО это нормальная библиотека, которая в онлайн-играх используется.
эдит: и Вирустотал так же считает. Если заметных проблем нет, то
очевидно, лечение окончено.
Последний раз редактировалось Rene-gad; 29.08.2007 в 21:55.
1) в другой папке с La2 его нет
2)в свойствах файла нет инфы о майкрософте, т.к. это DX9 библиотека по идее =)
3)он не удаляется
все это конечно имхо =)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\win32gl\\svchost.exe - Trojan.Win32.Agent.bcl (DrWEB: BackDoor.Bifrost)
- c:\\program files\\21cn\\vgo\\vgoiebho.dll - not-a-virus:AdWare.Win32.BHO.ed
Уважаемый(ая) zasadez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
