Касперский находит, (Trojan.Win32.Agent.asu) вроде удаляет после перезагрузки опять появляется. Потом пишет, что модуль Winlogon.exe заражен и вылечить не может. Помогите.
Касперский находит, (Trojan.Win32.Agent.asu) вроде удаляет после перезагрузки опять появляется. Потом пишет, что модуль Winlogon.exe заражен и вылечить не может. Помогите.
Отключите антивирус.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('O:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe',''); QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\WZU_USB.sys',''); QuarantineFile('C:\WINDOWS\system32\basegtf32.dll',''); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winlogon.exe',''); QuarantineFile('C:\Program Files\Ipwindows\ipwins.exe',''); QuarantineFile('c:\windows\system32\ufdsvc.exe',''); DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll'); DeleteFile('c:\docume~1\9335~1\locals~1\temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe'); DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22062 ).
Затем такой скрипт в AVZ:
Сделайте новые логи и прикрепите еще SubSystems.log из папки AVZ.Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Последний раз редактировалось kps; 25.04.2008 в 19:24.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Файла SubSystems.log у меня нет в папке AVZ
Последний раз редактировалось zepter; 19.06.2008 в 19:07.
154B1027.exe_, 1eee4a3.msi_, autorun.inf, ufdsvc.exe_, WZU_USB.sys
Вредоносный код в файлах не обнаружен
winlogon.exe_ - Trojan.Win32.Pakes.ctd
Логи чистые, какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Всё в порядке, заработало даже то, что не работало.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\local settings\\temp\\winlogon.exe - Trojan.Win32.Pakes.ctd (DrWEB: Trojan.Packed.573)
- c:\\docume~1\\9335~1\\locals~1\\temp\\winlogon.exe - Trojan.Win32.Pakes.ctd (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\basegtf32.dll - Trojan.Win32.SubSys.dk (DrWEB: Trojan.Okuks.based)
Уважаемый(ая) zepter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.