-
Junior Member
- Вес репутации
- 59
win32/rootkit.agent.dp trojan
Здравствуйте! начну с начала. антивирь- нод32. возникли проблемы с автоматическим обновлением. в логине заглавные буквы менялись на маленькие(нод не мог обновиться, менял на заглавные , обновлялось , но потом опять - маленькие). несколько раз . значения не предал. далее примерно через неделю в почте среди многих писем было одно письмо которое нод32 "блокировал" (вин32/вигон троян и рут кит.агент.дп троян). просканировал комп, всех их нашел и (типа) удалил. но начались проблемы в инете страницы стали долго загружаться, и "тормозить" игры через инет (battlefield2142 например). в инете поискал что это за вирусы попал к вам. Прошу Вас взглянуть на скрипты. доктор веб нашел семь вирусов заражен был "есет" и демон тулз. и еще шесть рекламных вирусов было. карантин сохранился, а скрипт я похерил(ибо ламмер) нечаянно перезаписал его.
Последний раз редактировалось apotek; 11.12.2008 в 10:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
BC_DeleteSvc('Lsy28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy28.sys','');
BC_DeleteSvc('Aho30');
QuarantineFile('C:\WINDOWS\System32\Drivers\Aho30.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Aho30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lsy28.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
скрипт выполнил, система перезагрузилась, но папка карантин пуста!!!, выполнил скрипт лечения, скрипт сбора, и хак по инструкции...
правильно ли сделал или нет???
еще один момент : процесс отключения компа занимает в среднем 5 минут(чего раньше не было, до вируса). жму пуск-выключение-проходит 2 мин- появл табличка "ждущий режим, выключение, перезагрузка"- жму выключение или перезагр- и выключается только ч/з 2 мин,
Последний раз редактировалось apotek; 11.12.2008 в 10:08.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
-
-
Junior Member
- Вес репутации
- 59
карантин выслал, сейчас пришлю скритпы.....
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось apotek; 11.12.2008 в 10:08.
-
пофиксите ...
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
больше ничего плохого в логах не видно ...
какие -то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 59
спасибо за помощь!!!!
еще обратил внимание только-что (очевидно весна и авитаминоз- торможу что-то нехило). так вот сейчас перед перезагрузкой отключил все сетевые подключения по локальной сети, после перезагрузки при запуске вылезла табличка "подключение удаленного доступа" с моими логинами и паролями!!! ЭТО НОРМАЛЬНО ИЛИ НЕТ, ибо я удаленно никода не работал и не ставил проги по работе удаленно
-
попробуйте убрать из автозагрузки скайп, мыйл ру ...
-
-
Junior Member
- Вес репутации
- 59
вспомнил(ко мне начала память возращаться ) однажды недавно с утра включил комп и расшаривал через торент, включил домашнюю асю, и ушел на работу, включил рабочую асю, сначала домашняя ася была со значком "недоступен", ну да меня же дома нет, но в обед заглянул в асю, посмотрел статус домашней аси --- 1,5 часа как в сети!!!!!----, а дома никого небыло даже животных, вот такая история.
что скажете?????
Добавлено через 2 минуты
хорошо ,попробую , ответ дам после завтра, благодарю великодушно!!!!
Последний раз редактировалось apotek; 11.04.2008 в 21:46.
Причина: Добавлено
-
как осуществляется вход в сеть ?
-
-
Junior Member
- Вес репутации
- 59
корбиныч, изначально создается "подключение по локальной сети" и со всеми корбиновскими паролями и настройками, потом содается "подключение на рабочем столе" с логинами и паролями личными, по этому ярлыку и ходим в инет.
или это я не в тему ответил, тогда не понял вопроса
-
получается что любая программа которая хочет в интерне туда попадает ...
-