обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('fire.scr',''); QuarantineFile('C:\WINDOWS\system32\svchf8x.dll',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\system32\SiSPower.dll',''); QuarantineFile('\SystemRoot\system32\drivers\kxraunwa.dat',''); QuarantineFile('C:\WINDOWS\system32\adsnd.dll',''); DeleteFile('C:\WINDOWS\system32\adsnd.dll'); DeleteFile('C:\WINDOWS\system32\svchf8x.dll'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
3.Пофиксить в HiJackThis (Что останется)
4.Выслать карантин согласно приложению 3 правилКод:O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll O3 - Toolbar: Starware Screensavers Toolbar - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - (no file) O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe O4 - HKUS\S-1-5-21-299502267-562591055-725345543-1003\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe (User '?') O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - O20 - AppInit_DLLs: C:\WINDOWS\system32\svchf8x.dll O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)
5.Повторить логи
Надеюсь, что все сделано правильно !
Спасибо огромное за помощь!
c:\windows\system32\adsnd.dll Trojan-Downloader.Win32.Delf.dbo
C:\WINDOWS\system32\drivers\kxraunwa.dat Rootrit.Win32.Agent.pk
выполните скрипт ...
пофикситеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\adsnd.dll'); DeleteFile('C:\WINDOWS\system32\drivers\kxraunwa.dat'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи ....Код:O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
То что вы делаете - это реальная помощь....
Только у меня не было в списке:
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
это нормально?
повторяю логи...
P.S. еще вопрос... как быть теперь с восстановлением системы, оно же было отключено согласно пункту 7. (Отключите восстановление системы (Windows Me/XP). *смотрите далее Приложение 1.). Нужно вернуть настройки обратно?
в логах теперь чисто ....
восстановление системы можно включить ...
УРРРРРРРАААААААААА........!!!!!!!!радость переполняет меня !
СПАСИБО ЕЩЕ РАЗ за помощь!!!! ЭТО КРУТО!
вот уж не думала, что мне кто-то поможет !
теперь можно просто пользоваться касперским?
или нужно еще что-то делать, чтобы быть в полной уверенности, что комп чист?????
кстати, у меня уже давно выскакивает сообщение при выключении компа "СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ" со звуком "ТАМ!"... а потом звук выключения винды та-да-да-дам...
что это может быть???? ЭТО СТРАШНО?????
СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ .... дальше должно идти имя файла какое ?
система не может остановить какое-то приложение ...
я сейчас перезагружу комп и посмотрю что он мне там пишет!
Добавлено через 14 минут
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо ! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить !
Добавлено через 1 минуту
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо ! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить !
Добавлено через 14 минут
ах ... рано обрадовалась.. решила еще раз перезагрузить комп и выскачило сообщение "сбой при инициализации приложения..." а дальше не успеваю прочитать.... очень быстро табличка выскакивает и выключается комп...
что делать?
Последний раз редактировалось lerriuqs; 29.11.2007 в 00:48. Причина: Добавлено
не думаю что это что-то плохое .... так система может ругаться например на.... антивирус ...
понятненько....
у вас тут конечно очень хорошо... но лучше не иметь нужды к вам обращаться !
но у меня тут опять вопрос созрел! я запустила касперского сделала полную проверку всего компа и у меня (при включеном каспере) перестал запускаться Exploler . Выключаю каспера - все нормально. вот и сейчас пришлось выключить каспера, чтобы вам написать. иииииии...... КАК БЫТЬ!? ПОМОГИТЕ! ПЛИЗЗЗЗЗЗЗ........ Вся надежда на вас !!!!!
В логах помимо Каспера еще видны куски Симантека и даже Панды. Надо бы это зачистить... Сейчас напишу скрипт.
Добавлено через 5 минут
Вот скрипт, выполните его в безопасном режиме:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll'); DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe'); DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); BC_ImportDeletedList; BC_DeleteSvc('PavPrSrv'); ExecuteSysClean; ExecutRepair(5); ExecutRepair(6); ExecutRepair(8); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 29.11.2007 в 03:37. Причина: дополнил скрипт
I am not young enough to know everything...
а как это в безопасном режиме?
http://virusinfo.info/showthread.php?t=9279а как это в безопасном режиме?
I am not young enough to know everything...
Когда включает компьютер, давите F8. Если попадете, то высветится меню с вариантами. Надо выбрать там "Safe Mode" или "защищ. режим".
В "Панели управление" "установка и удаление программ" посмотрите не осталось ли там остатков Панды и Симантека. Если что-то осталось, то деинсталлировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо! буду действовать !
Добавлено через 56 минут
в безопасном режиме не удалось выполнить скрипт .
пишет:
Ошибка скрипта: Undeclared identifier: 'ExecutRepair', позиция [11:13]
В "установка и удаление программ" ничего не нашла, ни Панды, ни Симантека.
При запуске Exploler каспер выдает сообщение:
! ПРОАКТИВНАЯ ЗАЩИТА
попытка загрузки нового или измененного модуля
MSOXMLMF.DLL
подозрительное действие:
integrity vidation
процесс (PID:2976)
C:\Program Files\Internet Explorer\iexplorer.exe
предлагает действия:
-разрешить
-запретить
-добавить в общий список
Последний раз редактировалось lerriuqs; 29.11.2007 в 15:17. Причина: Добавлено
Поправил. Можно выполнять.
Добавлено через 1 минутуКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll'); DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe'); DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); BC_ImportDeletedList; BC_DeleteSvc('PavPrSrv'); ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Библиотечка для The Microsoft Office XML MIME filter, так что можно разрешить.
Последний раз редактировалось PavelA; 29.11.2007 в 15:25. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт выполнила!
Добавлено через 2 минуты
Exploler не хочет грузится когда каспер работает...
я в шоке
Последний раз редактировалось lerriuqs; 29.11.2007 в 16:09. Причина: Добавлено
какие-то проблемы остались ?
так в том то и дело, что я не могу зайти в интернет, когда работпет касперский, отключаю его и только тогда могу зайти на ваш форум
Уважаемый(ая) lerriuqs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.