-
Junior Member
- Вес репутации
- 59
Замучали трояны Pandex и др.
Помогите разобраться, пожалуйста! У меня 2 антивируса и оба находят разные вирусы. В изоляторе одного, Downloader ftpdll.dll путь c/ windows/system32/, C/Document and Settining/Local/ дальше путь не указан, и Trojan Pandex WLCtrl32.dll путь C/Windows/sistem32/. В хранилище другого: Win32:Small-JMK A0009256.exe путь С:/System Volume Information/_restove{0437CDC8-56FB... , Win32:Agent-QOV nkv.sys путь C/windows/system32/drivers/... Как понять заражены системные файлы или нет? И если это системные , то как их удалять, а потом востановить? Попыталась сделать логи, надеюсь получились. Два до перезагрузки и два после. Заранее благодарю всех, кто попытается мне помоч!
Последний раз редактировалось grom.acc; 01.03.2008 в 04:59.
Настя.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я посмотрел логи и ничего интересного кроме двух антивирусов не увидел. Они мешают друг другу работать. Настоятельно рекомендую оставить один из них.
Пофиксите в HijackThis:
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
-
-
Junior Member
- Вес репутации
- 59
Дело в том, что одна антивирусная программа была установлена недавно, а до нее уже выявлялись вирусы, рассылался спам с моего компа, но мой антивирус его не видел, пришлось установить другой, который инашел еще 2 зловреда. Один вирус вылезает вновь и вновь, не смотря на отключение востановление.Но самое главное, что делать с зараженными файлами, как узнать системные ли они или нет? А если системные, то к чему приведет их удаление?
-
А вы пришлите подозреваемых по правилам. Скорее всего, не системные, раз сейчас система работает, хотя файлы точно в карантинах антивирусов.
virusinfo_cure - это карантин, его к теме цеплять не надо.
-
-
Junior Member
- Вес репутации
- 59
Спасибо за ответ! AVZ файлы не находит, по маске тоже не находит, но ведь эти файлы точно есть в изоляторе, как же так? У Avast в изоляторе: Win32:Small-JMK, Win32:Agent-QOV. У Simantec в изоляторе Downloader и Pandex. Pandex регулярно вылавливается Simantec и "частично изолируется", а Avast его просто никогда не видел! Как же справится с этой заразой? Вопрос, системные это файлы или нет остается открытым т.к AVZ их не нашел и мне нечего отослать. И это меня беспокоит.
-
Это не системные файлы. Очистите карантины антивирусов.
Сделайте новый лог HijackThis.
-
-
Junior Member
- Вес репутации
- 59
Карантин очистила. Вот новый лог. Есть еще одна проблема: подключение к интернету не отсоединяется. Чтоб отсоединится приходится отключать питание модема или весь комп.
Последний раз редактировалось grom.acc; 01.03.2008 в 04:58.
Настя.
-
А чему тут удивляться, ещё и не такое бывает когда несколько антивиров вместе поставишь
Даю установку : удаляй один из антивирусов.Потом надо следы чистить после удаления. В Чаво есть ссылка. Я бы обоих удалил и поставил другой, но это уже каждому своё
-
-
Junior Member
- Вес репутации
- 59
Повторюсь еще раз, вирусы определялись еще до установки 2 антивируса!
Добавлено через 1 час 35 минут
Simantec вновь и вновь находит Pandex tgk14 и частично изолирует. Путь С:\Windows\System32\drivers\tgk14\. При попытке что нибудь сделать с этим файлом, Windows выдает сообщение: "Нет доступа. Файл занят другим преложением". Системный или нет? Можно ли как то удалить?
Последний раз редактировалось grom.acc; 25.02.2008 в 22:39.
Причина: Добавлено
Настя.
-
Повторюсь еще раз, вирусы определялись еще до установки 2 антивируса!
Пусть определялись, но удалять совместно антивирусы то не могут. Оставьте один
-
-
Сообщение от
grom.acc
Simantec вновь и вновь находит Pandex tgk14 и частично изолирует. Путь С:\Windows\System32\drivers\tgk14\. При попытке что нибудь сделать с этим файлом, Windows выдает сообщение: "Нет доступа. Файл занят другим преложением". Системный или нет? Можно ли как то удалить?
Нет, не системный. Удалить можно, если Symantec его отпустит, - я так понимаю, он файл заблокировал.
Заплатки на Windows последний раз когда ставили? Локальная сеть есть? Системный диск в сеть случайно не открыт?
-
-
Junior Member
- Вес репутации
- 59
А как сделать, чтобы Simantec его отпустил, может быть отключить "защиту от изменений"? Заплатки не разу не ставила, не знаю как. Локальное подключение в наличее. Системный диск-сеть? Не знаю,как это узнать? Появилась новая гадость С:\Windows\svchost\. AVZ ее нашел. Что делать? Вот новые логи.
Последний раз редактировалось grom.acc; 01.03.2008 в 04:54.
Настя.
-
Junior Member
- Вес репутации
- 59
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Tgk14');
SetServiceStart('Tgk14', 4);
QuarantineFile('C:\WINDOWS\System32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tgk14.sys','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Tgk14.sys');
DeleteFile('C:\WINDOWS\System32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
BC_DeleteSvc('Tgk14');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18565).
Сделайте лог syscheck (п.10 правил).
I am not young enough to know everything...
-
-
Автоматическое обновление Windows включено?
Правой кнопкой мыши по иконке системного диска - Свойства - Что там у вас на закладке Доступ (или Безопасность и общий доступ)?
Где virusinfo_syscheck?
-
-
Junior Member
- Вес репутации
- 59
Простите, я не поняла, как выполнить скрипт!
Добавлено через 4 минуты
"Удаленный доступ к этому компютеру отключен"
Последний раз редактировалось grom.acc; 26.02.2008 в 04:00.
Причина: Добавлено
Настя.
-
Как выполнить скрипт в AVZ.
Добавлено через 52 секунды
Сообщение от
grom.acc
"Удаленный доступ к этому компютеру отключен"
Хорошо. Правильно.
Последний раз редактировалось pig; 26.02.2008 в 04:02.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнила. Столкнулась с такой проблемой: когда началась перезагрузка, пропали значки, послеэтого комп завис с заставкой на экране. Пришлось нажать кнопку перезагрузки. Что делать дальше?
-
Но после этого таки загрузился?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Да, а то сейчас бы меня здесь не было. :-)))) Выслала карантин.