Ситуация стандартная. Антивирус находит, делаешь reboot компа а он снова появляется. + ко всему прочему стал сыпаться левый трафик (10-15 кб.сек). Пожалуйста помогите!
Ситуация стандартная. Антивирус находит, делаешь reboot компа а он снова появляется. + ко всему прочему стал сыпаться левый трафик (10-15 кб.сек). Пожалуйста помогите!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Wwa03.sys',''); QuarantineFile('C:\WINDOWS\Wwa03.sys',''); DeleteFile('C:\WINDOWS\Wwa03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wwa03.sys'); BC_ImportALL; BC_DeleteSvc('Wwa03'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
virusinfo_cure.zip прикреплять не надо, дожен быть еще virusinfo_syscheck.zip
I am not young enough to know everything...
Скрипт выполнил, перезагрузился, по прежнему находит вирус, левый трафик продолжает сыпаться. Карантин отправил. Высылаю новые логи
virusinfo_syscheck.zip почему то AVZ не делает, не могу его найти, в чем проблема может быть?
выполните скрипт ...
затем скрипт из поста 2 ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wwa03', 'Start'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Выполнил оба скрипта, выкладываю новые логи, вирус ещё жив
Ad-Aware удалите ... затем выполните скрипты ...
Ad-Aware удалил, выполнил скрипты, вирус по прежнему жив, выкладываю логи
странно ... отключитесь от интернет ... закройте все программы .. очистите временные интернет файлы ... и выполните скрипты ...
Не помогло
Добавлено через 1 минуту
Почему то AVZ ничего не нашёл, но трафик сыпался, запустил Касперского и он нашёл пакость
Что делать?
Последний раз редактировалось ~killer~; 06.01.2008 в 21:28. Причина: Добавлено
все нашел авз не удалил ... что -то мешало ... сделайте лог ... посмотрим .. удалил ли все антивирус ...
1. Драйвер tcpip.sys у Вас патченый (скорее всего, постарался один из троянов, чтобы спамить за пределами 100 одновременных сессий)
Файл неплохо бы заменить из дистрибутива с операционной системой. Для этого установите диск с Windows в cdrom. Далее пуск - выполнить - введите cmd и нажмите enter. В черном окошке введите:
вместо D:\ - может быть другая буква, соответствующая СD приводуexpand D:\i386\tcpip.sy_ C:\windows\system32\drivers\tcpip.sys
и нажмите Enter
2. Два оставшихся руткита попробуем прибить через Rootkit Unhooker.
Скачайте Rootkit Unhooker:
http://ifolder.ru/4853411
установите программу и запустите ее. Далее откройте меню Tools, далее выберите wipe/copy file (затереть или скопировать в каталог файл), затем жмете browse и находите файл руткита по заданному пути на диске (драйвер видим на диске). После выбора файла отмечаете пункт direct file content wiping, жмете do opperation и закрываете программу. Далее перезагружаете компьютер.
Проделайте это с тремя файлами по следующим адресам:
3. Повторите логC:\WINDOWS\Wwa03.sys
C:\WINDOWS\system32\drivers\smtpdrv.sys
C:\WINDOWS\System32\Drivers\Wwa03.sys
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
При отключённом инете вроде всё чисто, антивирусы ничего не находят, как только его включаешь начинается литься лишний трафик и антивирусы снова находят вирусняк
Попробую сделать как написал XL
Вроде всё правильно сделал, паразитный траф перестал сыпаться, антивирусы ничего не находят, выкладываю лог.
В модули пространства ядра руткиты попадать перестали, что уже хорошо.
Добьем остатки в реестре и на диске скриптом:
Код:begin SearchRootkit(true, true); DeleteService('smtpdrv'); DeleteService('Wwa03'); DeleteFile('C:\WINDOWS\Wwa03.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Wwa03'); BC_DeleteFile('C:\WINDOWS\Wwa03.sys'); BC_Activate; RebootWindows(true); end.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
выполните такой скрипт ....
повторите лог авз ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Wwa03.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\Wwa03.sys'); BC_DeleteSvc('Wwa03'); BC_DeleteSvc('smtpdrv'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Касперский орёт на этот файл - C:\WINDOWS\Wwa03.sys что в нём троян
Сейчас выполню 2 скрипта и выложу лог
на время выполнения скрипта отключите антивирус ...
трояны убиты!
что из этого Вам не нужно:
?>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Да в принципе ничего не нужно
Опишите пожалуйста как всё это закрыть, а я подумаю что именно закрыть/оставить
И ещё вопрос:
При перезагрузке компа после окна WindowsXP появляется буквально секунды на 2 синий экран с надписью - isdelete programm not found... дальше не успел запомнить. Стало появляться после того как начал давить троянов.
Уважаемый(ая) ~killer~, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.