Вроде все делаю а воз и ныне там.
Симантек ругается на троян.пандекс, хактул и ещё чего-то.
Высылаю новые логи, но по моему эти файлы, которые в скрипте на удаление, не удалились.
Вроде все делаю а воз и ныне там.
Симантек ругается на троян.пандекс, хактул и ещё чего-то.
Высылаю новые логи, но по моему эти файлы, которые в скрипте на удаление, не удалились.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл карантина тоже отправил.
Зверей стало поменьше. Все-таки кое-что удалилось.
Добавлено через 14 минут
C:\WIN_XP\system32\wininet.exe - искать через AVZ и удалять.
Осталось профиксить в логе hijackthis:
Сейчас еще скрипт напишу для их удаления.Код:O4 - HKLM\..\Run: [winroot] C:\WIN_XP\system32\winsn.exe O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WIN_XP\system32\svshost.dll
Добавлено через 14 минут
Вот такой скрипт получился:
после него новые логи и загрузить карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WIN_XP\system32\wininet.exe',''); DeleteFile('C:\WIN_XP\system32\wininet.exe'); QuarantineFile('C:\WIN_XP\system32\winsn.exe',''); DeleteFile('C:\WIN_XP\system32\winsn.exe'); QuarantineFile('C:\WIN_XP\system32\svshost.dll',''); DeleteFile('C:\WIN_XP\system32\svshost.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
На какие файлы ругается Симантек? Можно посмотреть пути и имена в карантине Симантека.
Последний раз редактировалось PavelA; 15.11.2007 в 13:41. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Симантек ругается на:
1. Hacktool.Keygen.151552 по адресу: C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\
2. два раза на Trojan.Pandex по адресу: C:\0002
3. и три раза Trojan.Pandex без указания адреса и имени файла
это за сегодня.
Логи сейчас сделаю.
C:\0002 - файл есть такой? Или это директория на диске. Нигде ничего подобного в логах не светится.Сообщение от Autocom
Вот про это непонятно, откуда стартует и почему виден только в хиджаке C:\WIN_XP\system32\wininet.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файла 0002 нет и папки такой нет.
На с:\ есть файл 0001, а также 88D85C8C.exe , которые я уже несколько раз удалял, они снова появляются.
Теперь ещё появился msntshyv.exe , хотя раньше по моему не было.
А на флешке постоянно появляется autorun.inf и 584AC1FD.exe удаление не помогает, появлеются снова с теми же именами.
Добавлено через 1 минуту
Только что симантек опять троян.пандекс и опять 0002
Добавлено через 8 минут
Кстати опять стал сам-собой исчезать просмотр скрытых файлов и папок.
Последний раз редактировалось Autocom; 15.11.2007 в 14:26. Причина: Добавлено
Автозапуск флешки надо отключить и пролечить.
Искать через AVZ autorun.* - и удалить со всех дисков. Один из них загрузить в карантин. 0001 - в карантин и прислать.
Кстати, последний Dr.Web умеет в лет эту гадость убивать.
Надо сделать так: скачать Cure-It с freedrweb и проверить полностью компьютер.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В автозагрузке постоянно появляются 3 файла:
sis32 C:/WIN_XP/sistem32/winsos.exe
sisw C:/WIN_XP/sistem32/csrss.exe
winroot C:/WIN_XP/sistem32/winsn.exe
Скрипт из №23 выполнил?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да скрипт выполнил сразу.
Паучка скачал, сейчас лечит. Уже кучу наловил.
И после перезагрузки снова не появляются.
Карантин с 0001 сейчас отправлю.
Огромное спасибо за помощь.
001-Trojan-Spy.Win32.KeyLogger.rt (kaspersky)
Добавлено через 59 секунд
Во время лечения антивирус надо отключать , иначе весело будет
Последний раз редактировалось drongo; 15.11.2007 в 17:24. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\win_xp\\system32\\shovth.exe - Trojan-Spy.Win32.KeyLogger.rt (DrWEB: Trojan.DownLoader.60974)
- c:\\win_xp\\system32\\winsn.exe - Trojan-Spy.Win32.KeyLogger.rt (DrWEB: Trojan.DownLoader.60974)
- c:/0001 - Trojan-Spy.Win32.KeyLogger.rt (DrWEB: Trojan.DownLoader.60974)
Уважаемый(ая) Autocom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
