Вот такой цветочник у буха
Вообщем после просмотра одного сайта с гороскопом, как говорит бухгалтер, у нее вырубилась машина, после чего синий экран смерти, помогло прокатка винды сверху, но комп страшно глючит, даже заблокирован диспечер задач, после установки нод 32 нашел 3 вируса, avz не запускался до тех пор, пока не переименовал и т.д. Плиз, помогите....
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Профиксить в HijackThis:
Далее напишу скрипт.Код:O2 - BHO: Microsoft copyright - {734F63ED-89AD-4c1a-A499-1688D26D780A} - soinc.dll (file missing) O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll O20 - Winlogon Notify: Xmxrpth - C:\WINDOWS\SYSTEM32\Xmxrpth.dll O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll O23 - Service: MS Internet Countermeasures Framework (ICF) - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
в AVZ выполнить скрипт:
После перезагрузки загрузить карантин по ссылке вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\SpamPal\spampalLSP.dll',''); QuarantineFile('Xmxrpth.dll',''); QuarantineFile('\SystemRoot\System32\drivers\protect.sys',''); QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys',''); QuarantineFile('C:\WINDOWS\system32\soinc.dll',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('c:\windows\system32\wininet.exe',''); QuarantineFile('c:\windows\spooldr.exe',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\WINDOWS\system32\soinc.dll'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи, прикрепить к теме.
Последний раз редактировалось PavelA; 10.09.2007 в 19:10.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Один момент.
Добавочка.
Еще один скрипт (THK Bratez):
Попавшее в карантин загрузить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Yux51.sys',''); QuarantineFile('\WINDOWS\system32\ntoskrnl.exe',''); DeleteFile('Yux51.sys'); BC_DeleteFile('Yux51.sys'); BC_DeleteSvc('Yux51'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот выполнил все, что сказали.
Сорри, не прикрепилось...
вашего карантина нет...
Выполните скрипт в AVZ:
После перезагрузки еще один:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Xmxrpth.dll',''); DeleteFile('C:\WINDOWS\spooldr.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\spooldr.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Снова будет перезагрузка.Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Yux51', 'Start'); RebootWindows(true); end.
После этого поищите с помощью AVZ (Сервис - Поиск файлов на диске) следующие файлы:
protect.sys
Yux51.sys
добавьте их в карантин, и весь карантин отправьте через эту форму:
http://virusinfo.info/upload_virus.php?tid=12320
P.S. Что за программа spampal? Вы ее сами ставили?
I am not young enough to know everything...
SpamPal-это программа, которая фильтрует почту и письма спам помечает меткой **SPAM**, очень удобная.
Остальное все сделал и выгрузил карантин!
Ответ из ЛК:
C:\WINDOWS\system32\Xmxrpth.dll- Trojan.Win32.Inject.er,
C:\WINDOWS\system32\drivers\Yux51.sys - Rootkit.Win32.Agent.ea
C:\WINDOWS\system32\drivers\protect.sys - чистый. Я, правда, в этом не уверен
Вот итог по protect.sys:
Код:AVG 7.5.0.485 2007.09.10 PSW.Agent.NWI BitDefender 7.2 2007.09.11 - CAT-QuickHeal 9.00 2007.09.10 - ClamAV 0.91.2 2007.09.11 Trojan.Agent-7550 DrWeb 4.33 2007.09.10 Trojan.NtRootKit.361 eSafe 7.0.15.0 2007.09.04 - eTrust-Vet 31.1.5124 2007.09.10 - Ewido 4.0 2007.09.10 - FileAdvisor 1 2007.09.11 - Fortinet 3.11.0.0 2007.09.11 - F-Prot 4.3.2.48 2007.09.11 - F-Secure 6.70.13030.0 2007.09.11 - Ikarus T3.1.1.12 2007.09.11 - Kaspersky 4.0.2.24 2007.09.11 - McAfee 5116 2007.09.10 - Microsoft 1.2803 2007.09.11 - NOD32v2 2520 2007.09.11 Win32/SpamTool.Agent.NAJ Norman 5.80.02 2007.09.10 - Panda 9.0.0.4 2007.09.11 Rootkit/Agent.GJE
Последний раз редактировалось PavelA; 11.09.2007 в 12:09.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасиб, большое!
Это,наверное, еще не все. Сделай новый комплект логов для контроля ситуации.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
- c:\\windows\\system32\\drivers\\yux51.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
- c:\\windows\\system32\\xmxrpth.dll - Trojan-PSW.Win32.LdPinch.dvz (DrWEB: Trojan.Inject.39
Уважаемый(ая) foxs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
