Обнаружил вирус - троянская программа 'Rootkit.Win32.Agent.fq'. Но удалить и вылечить не могу...Появляется надпись " Файл C:\WINDOWS\system32\syssrv.sys не вылечен: нет прав на запись" и пишет пропустить. Что делать?
Обнаружил вирус - троянская программа 'Rootkit.Win32.Agent.fq'. Но удалить и вылечить не могу...Появляется надпись " Файл C:\WINDOWS\system32\syssrv.sys не вылечен: нет прав на запись" и пишет пропустить. Что делать?
Последний раз редактировалось Vitamin5; 07.09.2007 в 14:50.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syssrv.sys ',''); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 4 минуты
И еще: поищите с помощью AVZ (Сервис - Поиск файлов) файл ctfmon.exe. Если найдется где-нибудь, кроме system32, пришлите по правилам.
Последний раз редактировалось Bratez; 06.09.2007 в 19:02. Причина: Добавлено
I am not young enough to know everything...
Все сделал...Файл ctfmon.exe находится только вsystem32.
Посылаю архив.
[moderated! Запрошенные файлы нужно присылать в соответствии с приложением 3 правил.]
Последний раз редактировалось Shu_b; 07.09.2007 в 10:49.
карантин отправтьпе по этой ссылке
http://virusinfo.info/upload_virus.php?tid=12239
выполните скрипт
после выполнения скрипта,компьютер перезагрузиться.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\syssrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\syssrv.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите лог
Последний раз редактировалось Muzzle; 07.09.2007 в 11:13.
Посылаю лог.
простите опечатался,повторите все логи
Посылаю предущий лог
Добавлено через 4 минуты
Пишит, что уже существует в теме
Последний раз редактировалось Vitamin5; 07.09.2007 в 13:34. Причина: Добавлено
удали старые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Понял. Посылаю.....предыдущий лог
Первый сделан после первоначальной проверки и отослан вместе с 2 файлами virusinfo_syscure.zip и virusinfo_syscheck.zip...я его переслал...А последний после выполнения скрипта тоже послал в 12.37
Так,что-то вы наворотили тут,нужно было сделать новые три лога после выполнения скрипта,и прикрепить их к своему последними сообщению.
Высылаю 3 лога.
Пофиксите в HijackThis:
В карантине AVZ есть файл U.exe - пришлите его по правилам.Код:O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Energy Controller] ctfmon.exe
Сообщите, что используется из этого:
остальное поправим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
А что с кодом делать?
Vitamin5, не понял, всё это используешь ? нужно всё закрыть, у меня всё закрыто и не жалуюсь
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А где закрыть то?
..да вроде ничего не использую...
в системе при помощи выполнения скрипта (в AVZ):
Добавлено через 5 минутКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end.
не забыть каспера обновить. уже 7-ка давно вышла.
Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
Последний раз редактировалось drongo; 07.09.2007 в 15:27. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
В карантине только ini-файл. Поищите C:\U.exe, он точно у вас есть, причем подозревается в принадлежности к семейству LdPinch!
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.d (DrWEB: Trojan.BitAcc)
Уважаемый(ая) Vitamin5, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.