Помогите , пожалуйста, избавится от вируса! NOD32 определяет его как Win32/TrojanDownloader.Agent.BRK, при этом в корне диска C: постоянно появляются файлы без расширения с именен состоящим из цифр размером 0 байт.
Помогите , пожалуйста, избавится от вируса! NOD32 определяет его как Win32/TrojanDownloader.Agent.BRK, при этом в корне диска C: постоянно появляются файлы без расширения с именен состоящим из цифр размером 0 байт.
Последний раз редактировалось goof; 20.03.2008 в 13:32.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mstscex.dll',''); QuarantineFile('C:\Documents and Settings\Goof\svchost.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('C:\Documents and Settings\Goof\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12275
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
что из этого вам нужно?остальное поправимКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Последний раз редактировалось drongo; 08.09.2007 в 12:10. Причина: Добавил mstscex.dll
вроде бы ничего не нужно, кроме планировщика заданий. а что нужно сделать, чтобы отключить эти службы?что из этого вам нужно?остальное поправим
Цитата разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
но это так, на десерт, надо сначала выполнить что указали . у вас скорее вирус, даже winlogon патчили.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Messenger', 4); SetServiceStart('TlntSvr', 4); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
я сделал всё как вы сказали, теперь всё должно быть в порядке или что-то еще необходимо предпринять?
и что мне с этим делать?у вас скорее вирус, даже winlogon патчили.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
да, конечно
winlogon.exe действительно патченный (Trojan.Win32.Patched.q).
Возможные варианты:
а) взять установочный диск Windows XP, загрузить консоль восстановления и заменить c:\windows\system32\winlogon.exe.
б) если с этим затрудняетесь, установите пробную версию антивируса Касперского, он это умеет лечить.
.
I am not young enough to know everything...
попробую через консоль восстановления, потом отпишусь.
кроме этого ничего делать не нужно?
в этот раз пролечить 7 каспером не удалось, наверное не добавили алгоритм для вашего экземпяра.нажимаю лечить вирус, а потом он говорит только удалить ;(
из присланного:
Trojan.Win32.Patched.q
вирус Packed.Win32.PolyCrypt.d
Добавлено через 58 секунд
После восстановления оригинальных файлов, сделать новые логи и прикрепить к теме, посмотрим результаты
Добавлено через 2 минуты
я бы так сделал, на всякий случай: пуск--выполнить--cmd--sfc /scannow
так может ещё патченные найдутся
Добавлено через 14 минут
C:\WINDOWS\system32\mstscex.dll -в карантин не попал(поспешили видать с выполнением), в ручную поместить и прислать по пункту 2 правил.
Последний раз редактировалось drongo; 08.09.2007 в 13:07. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
мне не удается запустить консоль восстановления системы! если другой способ заменить winlogon.exe?
выполнение команды sfc /scannow никаких результатов не дало, как их можно посмотреть?
C:\WINDOWS\system32\mstscex.dll высылал
copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y
вместо D, заменить от вашего СД, где диск с ХП положили
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Можно попробовать так:
1. В дистрибутиве находим файл winlogon.ex_
2. Переименовываем его в winlogon.zip
3. Распаковываем архиватором (например: C:\winlogon.exe)
4. В AVZ выполняем скрипт:
drongo, D:\1386\winlogon.ex_ вроде упакованный.Код:begin BC_CopyFile('C:\winlogon.exe','c:\windows\system32\winlogon.exe'); BC_Activate; RebootWindows(true); end.
The worst foe lies within the self...
вот так можно распаковать файл из дистрибутива
Пуск--выполнить--cmd
expand x:\i386\winlogon.ex_ y:\windows\system32\winlogon.exe
x - буква CD, y - буква диска с windows xp
вроде бы всё сделал, высылаю логи
действительно упакованный, пришлось восстанавливать систему, но вроде всё обошлосьdrongo, D:\1386\winlogon.ex_ вроде упакованный.
Последний раз редактировалось goof; 20.03.2008 в 13:32.
Забавно, похоже ещё троян восстановился, выполнить и прислать.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выслал, что дальше?
это то что подозревал : троянская программа Trojan.Win32.Pakes.cj (kaspersky)
лечение:
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:R3 - Default URLSearchHook is missing O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('msupdate'); BC_Activate; RebootWindows(true); end.
Сделать новые логи, как в первом вашем сообщении.
Последний раз редактировалось drongo; 08.09.2007 в 16:10.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
всё сделал, но в HijackThis строчки которые начинаются с O15 после того как пофиксил появляются снова, это нормально? И всё ли теперь в порядке или необходимо еще что-то сделать?
и еще не могу почему то приложить файл virusinfo_syscure.zip, пишет, что я его уже выкладывал и после выполнения скрипта лог не обновился
Последний раз редактировалось goof; 20.03.2008 в 13:32.
в логах чисто...
выполните скрипт ...
после попробуйте профиксить... строчки которые начинаются с O15Код:begin ExecuteRepair(6); RebootWindows(true); end.
Уважаемый(ая) goof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.