Показано с 1 по 12 из 12.

поймал вирус - не могу удалить. (заявка № 12749)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34

    Thumbs up поймал вирус - не могу удалить.

    На компе стоит Windows XP, антивирус - касперский 7 базы обновляю постоянно
    При каждой загрузке системы, касперский сообщает о двух вирусах
    удалено: (на самом деле после перезагрузки опять выскакивает) троянская программа Rootkit.Win32.Agent.dp Файл: c:\windows\system32\drivers\ip6fw.sys
    удалено: (на самом деле после перезагрузки опять выскакивает) троянская программа Rootkit.Win32.Agent.ey Файл: C:\DOCUME~1\user\LOCALS~1\Temp\119578.exe
    и
    обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Program Files\Internet Explorer\IEXPLORE.EXE
    каспер каждый раз их удаляет, но при перезагрузке они возникают заново.
    логи от avz4 и HiJackThis
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    На время выполнения скрипта, отключитесь от сети, отключите антивирусный монитор и отключите автоматическое восстановление .
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Shareman\Shareman.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\dssdll32.dll','');
     QuarantineFile('C:\Program Files\MKey\hookdll.dll','');
     DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
     BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\dssdll32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\dssdll32.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_DeleteSVC('protect');
    BC_DeleteSVC('runtime2');
    BC_importQuarantinelist;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пофиксите с помощью Hijackthis строчки
    Код:
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
    O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O21 - SSODL: MSN Messenger - {280A7B65-8F00-438F-3E5A-1F039433FE60} - C:\WINDOWS\system32\dssdll32.dll
    Содержимое карантина загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12749, как написано в прил.3 правил и сделайте новые логи, только Hijackthis скачайте новый (ссылка - в правилах)

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34
    сделал все по инструкции.
    выкладываю логи.
    Система будет перезагружена. После перезагрузки, пофиксите с помощью Hijackthis строчки
    двух строк небыло из этого списка.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сообщите, что из этого реально используется:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34
    точно не надо:
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - понятия не имею что за служба
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: к ПК разрешен доступ анонимного пользователя - тоже наверное не надо - незнаю что такое.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Тогда такой скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.
    Если компьютер в локальной сети с использованием общего доступа к файлам и принтерам, то доступ анонима оставьте, для этого уберите третью строчку скрипта (где есть слово RestrictAnonymous).

    И финальные логи сделайте, для успокоения души
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34
    вот:
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O21 - SSODL: MSN Messenger - {280A7B65-8F00-438F-3E5A-1F039433FE60} - C:\WINDOWS\system32\dssdll32.dll (file missing)
    віполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\dssdll32.dll');     
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите лог ...HijackThis

  10. #9
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34
    логи с HijackThis
    Вложения Вложения

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Чисто.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    22
    Вес репутации
    34
    большое спасибо за помощь

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\system volume information\\_restore{95f70f22-5d46-42cf-9d3f-aec08c507db7}\\rp35\\a0008695.exe - Trojan-Dropper.Win32.FriJoiner.f (DrWEB: Trojan.MulDrop.8345)
      2. c:\\system volume information\\_restore{95f70f22-5d46-42cf-9d3f-aec08c507db7}\\rp35\\a0008696.exe - Trojan-Dropper.Win32.FriJoiner.f (DrWEB: Trojan.MulDrop.8345)
      3. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
      4. c:\\windows\\system32\\dssdll32.dll - Trojan-Downloader.Win32.Agent.dry (DrWEB: Trojan.DownLoader.34727)
      5. \\quarantine\\2007-10-01\\bcqr00010.dta - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)


  • Уважаемый(ая) corsar_ufo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. поймал вирус не могу избавиться
      От Heo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.05.2011, 22:37
    2. не могу удалить вирус
      От zinovin в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 14.10.2010, 10:59
    3. Поймал вирус и никак не могу избавиться.
      От Каюра в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.07.2009, 19:50
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 01:42
    5. Поймал вирус, не могу вылечить...
      От XacaH в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.11.2008, 09:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01276 seconds with 23 queries