Добрый день. Прошу помочь.
Никак не могу убить вирус.
Система: winXP sp2 лицензия
Антивирус: nod32 (c последним обновлением)
nod32 после каждой загрузки обнаруживает вирус, который идентифицирует как win32/TrojanDownloader.Agent.BRK троян
в процессах после каждой перезагрузки появляется процесс l33t.exe
Проблемы, которые доставляет: вырубило драйвера: сетевуху, аудиоустройства.
Не могу соединиться по dialup-у... пишет ошибку 633. типа com1 уже используется...
Систему сносить НЕЛЬЗЯ, иначе уже бы всё переустановил.
ОЧЕНЬ прошу помочь в решении проблемы!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.
2. Что-то новенькое в логах. Выполните такой скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\smh.dat','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин по правилам.
Добавлено через 1 минуту
3. Пока мы будем карантин смотреть, подумайте, что вам реально нужно из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что не нужно - будем отключать.
Добавлено через 2 минуты
При сканировании AVZ откопал в папках /clent/ и /1/client/ пару файлов и поместил их в карантин.
Дело в том, что это папки системы клиент-банк
Помещение в карантин - это просто копирование, а не изъятие файла, так что за Банк-клиент не беспокойтесь.
Последний раз редактировалось Bratez; 05.10.2007 в 14:19.
Причина: Добавлено
Вот это надо подчистить, желательно в защищ. режиме:
Код:
begin
BC_DeleteSvc('l33t');
BC_Activate;
RebootWindows(true);
end.
сделал
Добавлено через 41 секунду
Сообщение от Bratez
1. Упс! Упустили мы с вами важный момент - восстановление системы надо отключить, там могли остаться копии зловредов.
2. Что-то новенькое в логах. Выполните такой скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\smh.dat','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин по правилам.
сделал
Добавлено через 44 секунды
готово:
Файл сохранён как 071005_052708_virus_4706117cee9e7.zip
Размер файла 586
MD5 631edaacc99b959afa3084b790c32b48
Добавлено через 2 минуты
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) не нужно
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) не нужно
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) не нужно
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) не нужно
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) не нужно
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) не нужно
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM не нужно
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) нужно... Хотя не до конца понимаю что это...
>> Безопасность: к ПК разрешен доступ анонимного пользователя нужно
>> Безопасность: Разрешена отправка приглашений удаленному помошнику не нужно
Последний раз редактировалось gomez; 05.10.2007 в 14:29.
Причина: Добавлено
по-моему нет... сделал всё как Вы и советовали в safe mode-е.
Файл сохранён как 071005_060816_virus_47061b208f9da.zip
Размер файла 586
MD5 eda78e0c454a2a937fc012dd178dd7dc
Добавлено через 2 минуты
Для меня САМЫЙ главный вопрос... Почему может не работать dial-up?... Нужен для client-bank...
Пишет ошибку 633, что com1 порт занят...
переустановка драйвера модема и порта не помогла...
Я думал, что проблема связана с вирусом...
Что-нибудь вообще можно сделать?
Последний раз редактировалось gomez; 05.10.2007 в 15:15.
Причина: Добавлено
Я тут погуглил... этот файл видимо от SuperUtilities, так что оставим его в покое. На этом наверно всё... Сделайте для контроля логи, начиная с п.10 правил.
Добавлено через 2 минуты
А SuperUtilities вы давно поставили? Его не было в первых логах...
Последний раз редактировалось Bratez; 05.10.2007 в 15:23.
Причина: Добавлено
I am not young enough to know everything...
Уважаемый(ая) gomez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: