Немогу выполнить указанные Вами действия, при выполнении скриптов
комп перезагружается.
AVZ нашла Backdoor.Win32.Agobot.akd но не удаляет и не лечит.
Нужна помощь
Немогу выполнить указанные Вами действия, при выполнении скриптов
комп перезагружается.
AVZ нашла Backdoor.Win32.Agobot.akd но не удаляет и не лечит.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Попробуйте сделать логи в безопасном режиме,
и дополнительно лог как написано здесь:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
вот:
Последний раз редактировалось drongo; 22.09.2007 в 21:10.
выполните скрипт...Код:O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll (file missing) O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\system32\yatool.dll (file missing) O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe O4 - Startup: PowerReg Scheduler.exe O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing) O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll (file missing)
после перезагрузки еще один ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; QuarantineFile('C:\WINDOWS\system32\yatool.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\winload.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('asc355O.sys',''); QuarantineFile('System32\DRIVERS\smtpdrv.sys',''); DeleteFile('System32\DRIVERS\smtpdrv.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sab15','Start'); DeleteFile('asc355O.sys'); DeleteFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); BC_DeleteSvc('asc355O'); BC_DeleteSvc('ICF'); DeleteFile('C:\WINDOWS\system32\winload.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\yatool.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил ...Код:begin BC_QrSvc('Sab15'); BC_DeleteSvc('Sab15'); BC_Activate; RebootWindows(true); end.
повторите логи...
Последний раз редактировалось V_Bond; 22.09.2007 в 22:28. Причина: исправил ошибку и добавил... Numb спасибо ..
AVZ пишет ошибка в скрипте
Ошибка: ')' expected в паозиции 12:82
Опечатка в скрипте. Выполните такой скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; QuarantineFile('C:\WINDOWS\system32\yatool.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\winload.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('asc355O.sys',''); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sab15','Start'); DeleteFile('asc355O.sys'); DeleteFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); BC_DeleteSvc('asc355O'); BC_DeleteSvc('ICF'); DeleteFile('C:\WINDOWS\system32\winload.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\yatool.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
не помогло =(
Скрипт из безопасного режима запускал, т.к в обычном ребутится.
Последний раз редактировалось drongo; 22.09.2007 в 22:47.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('\SystemRoot\System32\Drivers\ary9phhe.SYS',''); DeleteFile('C:\WINDOWS\system32\drivers\Sab15.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\ldr12.tmp '); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи ...
virusinfo_cure.zip уберите из темы это карантин...
вроде все нормально, спасибо
C:\WINDOWS\system32\ldr12.tmp Backdoor.Win32.Agobot.akd
C:\Downloads\klwk.com - чистый ...
C:\WINDOWS\system32\Drivers\asc355O.sys Trojan.Proxy.Saturn.A (BitDefender)
ничего зловредного больше не вижу если проблем больше нет лечение можно считать завершенным...
Последний раз редактировалось V_Bond; 22.09.2007 в 23:50. Причина: Добавлено
На всякий случай пришлите по правилам файл:
C:\WINDOWS\system32\DRIVERS\tcpip.sys
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\asc355o.sys - Trojan.Win32.KillAV.lz (DrWEB: Trojan.NtRootKit.392)
- c:\\windows\\system32\\ldr12.tmp - Backdoor.Win32.Agobot.akd (DrWEB: Win32.HLLW.Agobot)
Уважаемый(ая) Fry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
