CureIt! нашел трояны...что-то удалил, но проблема осталась. При подключении к Интернет начинает что-то закачивать...
CureIt! нашел трояны...что-то удалил, но проблема осталась. При подключении к Интернет начинает что-то закачивать...
Наташа, не следует с админскими правами в инете гулять
Отключить антивирус, интернет
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Pcouffin.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Mrw83.sys',''); QuarantineFile('C:\WINDOWS\system32\msftp.dll',''); QuarantineFile('c:\windows\system32\drivers\spool.exe',''); QuarantineFile('c:\documents and settings\natasha\local settings\application data\cftmon.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(12); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17540
Последний раз редактировалось drongo; 04.02.2008 в 22:27.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Скрипт выполнила, но проблема осталась...Карантин закачала
Так было задумано
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
))) И что теперь?
C:\WINDOWS\system32\Drivers\Mrw83.sys- не попал, попробуйте в ручную найти.
Добавлено через 3 минуты
Теперь переходим к лечению:
Выполнить скрипт @ avz:
Сделайте новые логи, будем продолжатьКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\drivers\spool.exe'); TerminateProcessByName('c:\documents and settings\natasha\local settings\application data\cftmon.exe'); DeleteFile('c:\documents and settings\natasha\local settings\application data\cftmon.exe'); DeleteFile('c:\windows\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\system32\msftp.dll'); DeleteFile('C:\Documents and Settings\Natasha\DoctorWeb\Quarantine\connectionservice0.dll'); DeleteFile('C:\Documents and Settings\Natasha\DoctorWeb\Quarantine\connectionservices.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); RebootWindows(true); end.
--------------------------------------------------------------
Диагноз:
msftp.dll - Trojan-Downloader.Win32.Small.hwc (kaspersky)
spool.exe, cftmon.exe - Backdoor.Win32.Agent.ehg (kaspersky)
connectionservice0.dll, connectionservices.dll - not-a-virus:AdWare.Win32.WebFavoriteSite.c( kaspersky) Был уже удалён cureit
Последний раз редактировалось drongo; 04.02.2008 в 23:10. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Новые логи...
выполните скрипт ...
повторите логи ...Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mrw83\0000', 'CSConfigFlags', '1'); QuarantineFile('C:\WINDOWS\system32\Drivers\Mrw83.sys',''); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Mrw83.sys'); BC_DeleteSvc('Mrw83'); BC_Activate; RebootWindows(true); end.
новые логи
В логах чисто. Какие-то проблемы остались?
I am not young enough to know everything...
вроде все в порядке....спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\natasha\\doctorweb\\quarantine\\connecti onservices.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
- c:\\documents and settings\\natasha\\doctorweb\\quarantine\\connecti onservice0.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
- c:\\documents and settings\\natasha\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.hq (DrWEB: Trojan.DownLoader.4626
- c:\\windows\\system32\\drivers\\spool.exe - Worm.Win32.Socks.hq (DrWEB: Trojan.DownLoader.4626
- c:\\windows\\system32\\msftp.dll - Worm.Win32.Socks.r (DrWEB: Trojan.DownLoader.44897)
Уважаемый(ая) Nata_Led, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.