Пользователи стали жаловаться на частые зависания, тормоза и перезагрузки, в сети установлен Symantec 8 corporate, периодически находит всякие трояны и др, но не убивает. Мучаюсь недели две...
Помогите пожалуйста, логи прилагаю
Пользователи стали жаловаться на частые зависания, тормоза и перезагрузки, в сети установлен Symantec 8 corporate, периодически находит всякие трояны и др, но не убивает. Мучаюсь недели две...
Помогите пожалуйста, логи прилагаю
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\msindeo.dll',''); QuarantineFile('c:\winnt\winlogon.exe',''); QuarantineFile('c:\winnt\system32\dllcache\vvvhost.exe',''); QuarantineFile('c:\winnt\systemza32.exe',''); QuarantineFile('c:\winnt\rundll32.exe',''); QuarantineFile('c:\winnt\system32\mdm.exe',''); DeleteFile('C:\WINNT\system32\msindeo.dll'); DeleteFile('c:\winnt\system32\mdm.exe'); DeleteFile('c:\winnt\rundll32.exe'); DeleteFile('c:\winnt\systemza32.exe'); DeleteFile('c:\winnt\system32\dllcache\vvvhost.exe'); DeleteFile('c:\winnt\winlogon.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
новые логи
карантин выслан по правилам
Пофиксите в HijackThis:
Выполните скрипт в AVZ в безопасном режиме:Код:O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing) O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\systemza32.exe'); DeleteFile('C:\WINNT\system32\dllcache\vvvhost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 6 минут
Вот что было по классификации Касперского:
C:\WINNT\winlogon.exe - Backdoor.Win32.IRCBot.ajc
c:\winnt\system32\dllcache\vvvhost.exe - Backdoor.Win32.IRCBot.ais
c:\winnt\rundll32.exe - Trojan.Win32.StartPage.aso
c:\winnt\system32\mdm.exe - Trojan.Win32.Agent.buw
остальные два свеженькие, названия сообщу позже.
Добавлено через 10 часов 5 минут
msindeo.dll - Trojan-Spy.Win32.Goldun.ry
systemza32.exe - Backdoor.Win32.SdBot.ccn
Последний раз редактировалось Bratez; 13.10.2007 в 03:49. Причина: Добавлено
I am not young enough to know everything...
вдогонку нужно выполнить скрипт, чтобы убить вражеские сервисы :
Код:begin BC_DeleteSvc('Background Intelligent Transfer Service mircosoft 32'); BC_DeleteSvc('Nicrosoft f11nt'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\rundll32.exe - Trojan.Win32.StartPage.aso (DrWEB: Trojan.StartPage.20516)
- c:\\winnt\\systemza32.exe - Backdoor.Win32.SdBot.ccn (DrWEB: BackDoor.IRC.Sdbot.based)
- c:\\winnt\\system32\\dllcache\\vvvhost.exe - Backdoor.Win32.IRCBot.ais (DrWEB: Win32.HLLW.Zurenie)
- c:\\winnt\\system32\\mdm.exe - Trojan.Win32.Agent.buw (DrWEB: BackDoor.IRC.Sdbot.1631)
- c:\\winnt\\system32\\msindeo.dll - Trojan-Spy.Win32.Goldun.ry (DrWEB: Trojan.PWS.GoldSpy)
- c:\\winnt\\winlogon.exe - Backdoor.Win32.IRCBot.ajc (DrWEB: Trojan.Starter.281)
Уважаемый(ая) gav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.