Здравствуйте!
Комп по всей видимости подхватил несколько троянов. McAfee их находит, но удалить не может. А Windows заявляет, что некоторые системные файлы заменены и просит диск чтобы обновить их.
Прилагаю файлы согласно правилам раздела.
Здравствуйте!
Комп по всей видимости подхватил несколько троянов. McAfee их находит, но удалить не может. А Windows заявляет, что некоторые системные файлы заменены и просит диск чтобы обновить их.
Прилагаю файлы согласно правилам раздела.
выполните скрипт...
после перезагрузки еще один...Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил..Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\wupdsvc5.exe',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\WINDOWS\FONTS\94DFD.com',''); QuarantineFile('\SystemRoot\System32\drivers\protect.sys',''); QuarantineFile('protect.sys',''); QuarantineFile('C:\WINDOWS\system32\vhosts.exe',''); QuarantineFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\vhosts.exe'); DeleteFile('protect.sys'); DeleteFile('\SystemRoot\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); DeleteFile('C:\WINDOWS\system32\wupdsvc5.exe'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('FCI'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи...
Последний раз редактировалось V_Bond; 02.11.2007 в 10:42.
при попытке выполнить второй скрипт выходит ошибка
Too many actual parameters в позиции 12:12
поправил ...
Карантин отправил. Прилагаю логи.
Trojan-Downloader.Win32.BHO.bm, Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Ranky.gg
плюс новый Trojan.Win32.Agent.cmg попали в карантин
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\94DFD.com O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Карантин пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
Посылаю карантин. Посылаю логи.
в логах чисто.... если проблем нет ,то лечение можно считать завершенным...
В карантине - Trojan.Win32.Obfuscated.kf
Логи чистые. Рекомендуется отключить все ненужное из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\nevaeva\\local settings\\temp\\winlogon.exe - Trojan.Win32.Agent.cmg (DrWEB: Trojan.Packed.147)
- c:\\docume~1\\nevaeva\\locals~1\\temp\\winlogon.ex e - Trojan.Win32.Agent.cmg (DrWEB: Trojan.Packed.147)
- c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
- c:\\windows\\system32\\svchost.exe:ext.exe - Trojan.Win32.Obfuscated.kf (DrWEB: Trojan.Inject.492)
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.kf (DrWEB: Trojan.Inject.492)
- c:\\windows\\system32\\vhosts.exe - Trojan-Proxy.Win32.Ranky.gg (DrWEB: Trojan.MulDrop.8347)
- c:\\windows\\system32\\wupdsvc5.exe - Trojan-Downloader.Win32.BHO.bm (DrWEB: Trojan.MulDrop.9502)
Уважаемый(ая) Reanimator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.