помогите, пожалуйста, излечиться от злобной группы вирусов, которые восстанавливаются после удаления...
помогите, пожалуйста, излечиться от злобной группы вирусов, которые восстанавливаются после удаления...
Выполните скрипт в AVZЗагрузите карантин по этой ссылке. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('FCI'); QuarantineFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('H:\WINDOWS\System32\undname.exe',''); QuarantineFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); QuarantineFile('h:\windows\temp\startdrv.exe',''); DeleteFile('h:\windows\temp\startdrv.exe'); DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); DeleteFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe'); DeleteFile('H:\WINDOWS\System32\undname.exe'); DeleteFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll'); BC_ImportALL; BC_QrFile('H:\WINDOWS\System32\svchost.exe:ext.exe'); BC_DeleteFile('H:\WINDOWS\System32\svchost.exe:ext.exe'); BC_QrSvc('FCI'); BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
не уверен что все сделал правильно, поправьте, если что не так.
тут есть еще такая штука (может это важно): startdrv.exe создает файл в windows/system32/drivers/secdrv.sys, котрый сразу удаляется нодом при перезагрузке...
вы не выполняли скрипт ?
выполнял
отключите антивирус .....
выполните скрипт...
затем еще один...Код:begin BC_QrFile('h:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('h:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('h:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('h:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); DeleteFile('H:\WINDOWS\Temp\startdrv.exe'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
пришлите каратин согласно приложения 3 правил...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll',''); QuarantineFile('H:\WINDOWS\System32\undname.exe',''); QuarantineFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('H:\DOCUME~1\Ganj\LOCALS~1\Temp\winlogon.exe'); DeleteFile('H:\WINDOWS\system32\TrafInspAg_Tollbar.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
Нужно обновить до SP2 и установить все последующие обновления. А то можно лечиться до бесконечности...Код:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
вроде все сделал
Добавлено через 3 минуты
все сделал - скрипты и карантин. второй пак обязателен и поможет ли он? просто у меня уже и так весь трафф сожран и качать еще метров на 300 пак тяжеловато... но если только это может помочь, то, конечно, придется
Последний раз редактировалось Ganj; 04.11.2007 в 20:37. Причина: Добавлено
из попавших в карантин ....
H:\WINDOWS\system32\drivers\runtime2.sys Rootkit.Win32.Agent.Jp
h:\windows\temp\startdrv.exe Trojan-Spy.Win32.KeyLogger.rp
повторите логи ....
если ставить второй пак, то эти проблемы решатся сами собой или их все равно нужно вначале решить, а уже потом ставить пак?
вы ____так____ выполняете скрипт ?
да
выполните скрипты из поста 7 в Safe mode ... и повторите логи ...
извините за нескромный вопрос, как загрузиться в сейф моде?
Добавлено через 1 минуту
сорри, уже нашел
Последний раз редактировалось Ganj; 04.11.2007 в 21:10. Причина: Добавлено
Перезагрузить компьютер - при загрузке системы тыкать на F8 - выбрать там Safe mode
все скрипты и логи сдела в сейф моде...
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('H:\WINDOWS\system32\drivers\secdrv.sys',''); DeleteFile('H:\WINDOWS\Temp\startdrv.exe'); DeleteFile('H:\WINDOWS\system32\drivers\secdrv.sys'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Повторить логиКод:O4 - HKLM\..\Run: [startdrv] H:\WINDOWS\Temp\startdrv.exe
пришлите по правилам файл TrafInspAg_Tollbar.dll ...
Уважаемый(ая) Ganj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.