Своими силами не получается. Dr Web находит, удаляет, но при перезагрузке снова начинает качать, занимает весь трафик
Своими силами не получается. Dr Web находит, удаляет, но при перезагрузке снова начинает качать, занимает весь трафик
Отключите интернет и антивирус.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing) O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\NTD632.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\pxF86.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Luc64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Iqx86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Sah32.sys',''); QuarantineFile('C:\WINDOWS\system32\msinet.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\system32\fci.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\fci.exe'); DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\msinet.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Sah32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Iqx86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Luc64.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pxF86.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\WINDOWS\Temp\NTD632.exe'); BC_ImportDeletedList; BC_DeleteSvc('Iqx86'); BC_DeleteSvc('Luc64'); BC_DeleteSvc('protect'); BC_DeleteSvc('pxF86'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Sah32'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24004).
Обновите базы AVZ.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
При выполнении второго скрипта AVZ закрылся. Отправляю только один скрипт и лог. ССылка на карантин не открывается, Эксплорер зависает, хотя трафика вроде нет. Вложения не делаются, кнопки залипают.
Вынужден отправить файлы с другого компа. Больной комп так и не смог прицепить файлы к сообщению и не смог доделать скрипт. Просто виснет, перезагрузка не помогает.
скачайте C:\WINDOWS\System32\Drivers\Sah32.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Recycled\Dc2539.exe',''); BC_DeleteSvc('Sah32'); QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys'); DeleteFile('C:\Recycled\Dc2539.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Не могу отправить карантин,- нажимаю ссылку и все виснет. и при выполнении скрипта стандартного №3 после 15 минутной проверки просто закрывает AVZ. Пытаюсь отправить что есть- не получается, при нажатии кнопки "управление вложениями" минуты полторы "виснет", потом отпускает и при нажатии снова - тоже самое.
Что еще можно сделать без отправки логов?
Добавлено через 3 минуты
Да, скачал еще по ссылке IseSword, но там нет такого C:\WINDOWS\System32\Drivers\Sah32.sys - force delete, может надо как-то самому этот путь прописать?
Последний раз редактировалось stk18; 05.06.2008 в 14:06. Причина: Добавлено
нажимпете на кнопочку file появится проводник найдете в нем C:\WINDOWS\System32\Drivers\Sah32.sys - потом правой кнопкой мыки Force delete
так делали ?
У меня там его уже нет, и трафик не качает. Вроде все нормально, но не могу прицепить логи, просто не открывается окно при нажатии кнопки "управление вложениями" и аналогично карантин.
Прицепляю логи с другого компа.
...логи с моего больного компьютера, просто с него отправить не могу, поэтому на флешке принес на другой комп и отправиляю с него. Но чето- сам не вижу их здесь. А этого C:\WINDOWS\System32\Drivers\Sah32.sys - еще раз все проверил - нет, может переименовывается, но щас вроде и вирусов-то нет, все работает нормально.
Последний раз редактировалось pig; 06.06.2008 в 11:57.
4052.PIF- поищите при помощи авз и пришлите по правилам ...
Открываю авз, поиск файла на диске, отмечаю все жесткие диски, в строке поиска пишу 4052.pif, пуск - и ничего не находит.
А проблема щас вот с чем. Експлорер по адресной строке заходит на страницу, а вот по ссылкам на этой странице долго думает и не заходит. Поэтому и логи не могу отправить.
сделайте новые логи ...
переустановил IE 7.0 - все нормально, Отправляю логи
пофиксите ( возможно придется ввести заново настройки днс (есть в договоре провайдера))
выполните скрипт ...Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{5D84191C-7DF8-4D9F-9F9B-D36DB51D31F4}: NameServer = 85.255.113.125,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{820506F3-1C2A-4F47-ABFB-C80776A00E9A}: NameServer = 85.255.113.125,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{C07BEFE9-C184-4C1A-8C28-84E6571316EB}: NameServer = 85.255.113.125,85.255.112.159 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
повторите логи начиная с пункта 10 правил ...Код:begin ExecuteRepair(9); RebootWindows(true); end.
Было:
Dc2539.exe - Trojan-Downloader.Win32.Mutant.zn
Sah32.sys - Email-Worm.Win32.Agent.fy
Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 13:18.
логи
в логах ничего зловредного ...
Чем лучше предохраняться? И чтоб надежно и бесплатно?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycled\\dc2539.exe - Trojan-Downloader.Win32.Mutant.zn (DrWEB: Trojan.Rntm.6)
- c:\\windows\\system32\\drivers\\sah32.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)
Уважаемый(ая) stk18, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.