-
Junior Member
- Вес репутации
- 60
файл proper.exe + sol718(Trojan Horse)
Также как и чуть ранее происходило у "Мирная" при загрузке выдаёт сообщение, что необходимо найти файл Windows/system32/proper.exe
Изначально был блокирован диспетчер задач, не выполнялся вход в панель управления, брандмауэр Windows, свойства "Мой компьютер"
После чистки в Safe Mode Dr Web нашёл полторадесятка вирусов и всё. Нортон постоянно поёт о SOL718.TXT и sol718.txt, но ничего поделать не может.
Диспетчер задач сейчас восстановлен.
Запись о необходимости proper'а загружается и при входе в Safe Mode.
Попробовал решения, предложенные в ситуации для "Мирная", но они проблемы не решили полностью, хотя сейчас доступна Панель управления, брандмауэр и свойства "Мой компьютер".
Последний раз редактировалось Микро; 06.02.2010 в 10:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sol718.txt','');
QuarantineFile('C:\WINDOWS\system32\pr2agqwc.exe','');
SetServiceStart('msupdate', 4);
DeleteService('msupdate');
DeleteService('FCI');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
SetServiceStart('Microsoft Inet Service', 4);
DeleteService('Microsoft Inet Service');
QuarantineFile('Synr68.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lrx06.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('c:\windows\system32\pnkbstra.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\sol718.txt');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temp', '*.tmp', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку.
Сделайте новые логи и приложите их к своей теме.
-
-
Junior Member
- Вес репутации
- 60
ОК, спасибо, но
Огромное спасибо. Нортон теперь временно спокоен.
Но тем не менее при загрузке появляется надпись с красным крестиком:
Windows не удалось найти 'C:\WINDOWS\system32\proper.exe'. Проверьте, чтобы имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите "Пуск", а затем выберите команду "Найти"
Может, это и не вирус, но тогда что?
К тому же появилось это вместе с ними.
Оставлял на ночь делать логи - по свойствам, вроде они обновились.
Последний раз редактировалось Микро; 06.02.2010 в 10:43.
-
1. Очистите временные файлы IE через "Свойства обозревателя".
2. Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - AppInit_DLLs: C:\WINDOWS\system32\sol718.txt
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
3. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysrest.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\NdisWon.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Synr68.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Lrx06.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Synr68.sys');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\NdisWon.sys');
DeleteFile('C:\WINDOWS\system32\sysrest.sys');
DeleteFileMask('C:\WINDOWS\Temp', '*.tmp', false);
BC_ImportALL;
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Lrx06');
BC_DeleteSvc('Microsoft Inet Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
4. Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
5. Сделайте новые логи.
Последний раз редактировалось Bratez; 19.12.2007 в 12:53.
Причина: поправил скрипт
I am not young enough to know everything...
-
-
В первом карантине пришли:
c:\windows\system32\_svchost.exe - Trojan.DownLoader.origin, Trojan-Downloader.Win32.Tiny.adc
C:\WINDOWS\System32\DRIVERS\smtpdrv.sys - Trojan.NtRootKit.360, Email-Worm.Win32.Agent.l
c:\windows\system32\mssrv32.exe - Trojan-Downloader.Win32.Small.hbq
C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe - AdWare.Win32.TMAagent.j
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll - AdWare.Win32.TMAagent.k
-
-
Junior Member
- Вес репутации
- 60
Futhermore
Тем не менее:
- окно о файле proper.exe всё равно продолжает выскакивать
- замедлилась работа Интернет, обрывается подключение к серверам сетевых игр (после перезагрузки компьютера подключение удаётся, но производительность упала)
- Нортон снова напоминает о себе, сообщая о различных вирусах, удаляя их с переменным успехом.
Посмотрите, что не так, пожалуйста. Может изменились настройки подключения?
Хотя больше всего меня волнует файл properexe. Чую, что в нём есть суть.
Смотрю, аналогичная проблема волнует и ещё людей, надо найти выход
Карантин высылаю по ссылке указанной выше, верно?
Последний раз редактировалось Микро; 06.02.2010 в 10:43.
-
Хотя больше всего меня волнует файл properexe. Чую, что в нём есть суть.
На самом деле это сущий пустяк. Он должен был пропасть, если бы вы выполнили пункт 2 сообщения Bratez.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(16);
QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
DelCLSID('B863453A-26C3-4e1f-A54D-A2CD196348E9');
DelCLSID('D27987B8-7244-4DE0-AE10-39B826B492F1');
DelCLSID('B5AF0562-94F3-42BD-F434-2604812C297D');
DelCLSID('B5AC49A2-94F3-42BD-F434-2604812C897D');
QuarantineFile('C:\WINDOWS\ai.pif','');
DeleteFile('C:\WINDOWS\ai.pif');
BC_DeleteFile('C:\WINDOWS\ai.pif');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GT6JE9IB\win1[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A7SP8ZAZ\winzl[1].exe');
SysCleanAddFile('C:\WINDOWS\system32\sol718.txt');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ.
Обновите базы AVZ.
Сделайте новые логи и приложите их к своей теме.
Добавлено через 3 минуты
- Нортон снова напоминает о себе, сообщая о различных вирусах, удаляя их с переменным успехом.
О каких именно вирусах и в каких файлах? При каких условиях? Когда сайты в интернете посещаете?
Обновления на Windows установленны?
Почитайте это:
http://security-advisory.newmail.ru/EBook.htm
Добавлено через 3 минуты
И еще.
Перед выполнением скрипта шелкните в AVZ меню -> AVZPM -> Установить драйвер расширенного мониторинга процессов.
Последний раз редактировалось AndreyKa; 20.12.2007 в 22:37.
Причина: Добавлено
-
-
Если можно, AndreyKa, хочу добавить кое-что.
2 Микро:
Настоятельно рекомендую ОТКЛЮЧИТЬ Нортон и АГАВА Файрвол во время лечения. Спасибо за понимание.
Paul
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a7sp8zaz\\winzl[1].exe - Trojan-Downloader.Win32.Agent.jkv (DrWEB: BackDoor.Bulknet.107)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\gt6je9ib\\win1[1].exe - Trojan-Downloader.Win32.Agent.jkv (DrWEB: BackDoor.Bulknet.107)
- c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.k (DrWEB: Adware.Softomate.104)
- c:\\progra~1\\common~1\\target~1\\tmagent\\tmasrv. exe - not-a-virus:AdTool.Win32.TMAagent.j (DrWEB: Adware.Softomate.105)
- c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)
- c:\\windows\\system32\\drivers\\synr68.sys - Trojan.Win32.Agent.dnj
- c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.hbq (DrWEB: Trojan.Packed.560)
- c:\\windows\\system32\\_svchost.exe - Trojan-Downloader.Win32.Winlagons.l (DrWEB: Trojan.DownLoader.38290)
-