После заражения машины вирусом Wigon(Nod32), полезла куча соединений по 25 порту, из-за чего пришлось даже доставать IP из блэк-листов. Просьба помочь с проблемой!
После заражения машины вирусом Wigon(Nod32), полезла куча соединений по 25 порту, из-за чего пришлось даже доставать IP из блэк-листов. Просьба помочь с проблемой!
Последний раз редактировалось Merlin; 31.07.2008 в 10:55.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Yfl85'); QuarantineFile('C:\WINDOWS\System32\Drivers\Yfl85.sys',''); BC_DeleteSvc('smtpdrv'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); BC_DeleteSvc('Rxd52'); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd52.sys',''); BC_DeleteSvc('Pvc63'); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc63.sys',''); BC_DeleteSvc('Nty40'); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty40.sys',''); BC_DeleteSvc('Kpv84'); QuarantineFile('C:\WINDOWS\System32\Drivers\Kpv84.sys',''); BC_DeleteSvc('Cin85'); QuarantineFile('C:\WINDOWS\System32\Drivers\Cin85.sys',''); BC_DeleteSvc('Agl41'); QuarantineFile('C:\WINDOWS\System32\Drivers\Agl41.sys',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Agl41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cin85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kpv84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvc63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxd52.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yfl85.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('sysfldr.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
карантин выслал...
привожу логи:
Последний раз редактировалось Merlin; 31.07.2008 в 10:55.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Прислать карантин согласно приложения 3 правил .Код:begin QuarantineFile('IfxWlxEN.dll',''); end.
Пофиксить
Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Последний раз редактировалось Гриша; 03.04.2008 в 10:45. Причина: точку забыл:)
при попытке запуска выдает Ошибка: '.' expected в позиции 4:1Код:begin QuarantineFile('IfxWlxEN.dll',''); end
Опечатка. Попробуйте так:Код:begin QuarantineFile('IfxWlxEN.dll',''); end.
карантин выслал...
строки пофиксил...
Можно еще один файлик на всякий случай проверить (не прошел по базе безопасных).
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); BC_ImportQuarantineList; BC_Activate; DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20925 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Вот это Вам знакомо? :
D:\rdp\HideRDPxButtoN.exe
Последний раз редактировалось kps; 03.04.2008 в 11:13. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
IfxWlxEN.dll-по версии Вирустотал Касперский его детектит,но мой KIS молчит.
Последний раз редактировалось Гриша; 03.04.2008 в 11:32.
карантин выслал...
да, это безопасная программкаВот это Вам знакомо? :
D:\rdp\HideRDPxButtoN.exe
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
вроде бы после проведенных операций все тихо, никто ни куда не лезет...
что по tcpip.sys слышно? все в порядке?
Файл чистый.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Спасибо большое за помощь!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) Merlin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.