Hacktool.Rootkit
C:\WINDOWS\system32\drivers\tcpsr.sys
Доброе утро, помогите плиз.
Симантек определяет вирус, но после перегруза, он появляется снова. Нод32 так же не помог.
Hacktool.Rootkit
C:\WINDOWS\system32\drivers\tcpsr.sys
Доброе утро, помогите плиз.
Симантек определяет вирус, но после перегруза, он появляется снова. Нод32 так же не помог.
Microsoft Most Valuable Professional in Consumer Security
хм...вкладывал вложение..
посмотрите там http://virusinfo.info/profile.php?do=editattachments
если есть, удалите, попробуйте ещё раз.
если так и не получиться загрузите туда - http://virusinfo.ifolder.ru/
спасибо. удалил, залил заново.
жду советов
Отключите антивирус и интернет!
Пофиксить
Скачать,меню,File,появится аналог проводника,найти:WinNt32.dlll(если будет такой WinNt32.dl_ его тоже удалите),Gmr51.sys,tcpsr.sys,правая кнопка мыши Force Delete.Код:O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing) O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing) O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing) O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll O20 - Winlogon Notify: yvbb01 - yvbb01.dll (file missing) O20 - Winlogon Notify: yvpp01 - yvpp01.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('yvpp01.dll',''); QuarantineFile('yvbb01.dll',''); QuarantineFile('ovrscn.dll',''); QuarantineFile('LogCrypt.dll',''); QuarantineFile('WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\tcpsr.sys',' '); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd73.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oty73.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Gmr51.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); DeleteService('Gmr51'); DeleteService('Oty73'); DeleteService('Rxd73'); DeleteService('smtpdrv'); DeleteService('tcpsr ', ); DeleteService('runtime2'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Gmr51.sys'); DeleteFile('C:\WINDOWS\system32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oty73.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxd73.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('WinNt32.dll'); DeleteFile('LogCrypt.dll'); DeleteFile('ovrscn.dll'); DeleteFile('yvbb01.dll'); DeleteFile('yvpp01.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc ('Gmr51'); BC_DeleteSvc ('Oty73'); BC_DeleteSvc ('Rxd73'); BC_DeleteSvc ('smtpdrv'); BC_DeleteSvc ('tcpsr ', ); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22941
Повторите логи.
Последний раз редактировалось Гриша; 16.05.2008 в 11:54. Причина: не забываем пофиксить :)
Пофиксил, Карантин постал. Логи прилагаю
вот это C:\WINDOWS\system32\yvbb01.sys найдите и скопируйте по правилам- прислать.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
жалко, больше так не делайте не прислав нам копию.
Добавлено через 5 минут
Почистить следы:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\yvbb01.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('yvbb01'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Последний раз редактировалось drongo; 16.05.2008 в 12:48. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Повторите все логи...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\rxd73.sys - Trojan-Downloader.Win32.Mutant.aim
Уважаемый(ая) Пенни, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.