-
Junior Member
- Вес репутации
- 58
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Даже если бы стоял- было бы почти тоже самое с правами админа Только limited user даёт защиту от подобного.
Диск live cd есть? У вас интересный экземпляр который никак не попадёт в антивирусные базы, так как не даёт копироваться никакими утилитами, хотелось бы получить вот этот :
C:\WINDOWS\system32\Drivers\Kpu28.sys
Добавлено через 14 минут
Затем будем лечить:
1.Скачать http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip ,меню,File,появится аналог проводника,найти:WinNt32.dll,Kpu28.sys,правая кнопка мыши -> Force Delete на запрос о перезагрузке ответьте положительно.
Отключите средства защиты,интернет и восстановление системы!
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WinNTChk.dll','');
QuarantineFile('C:\WINDOWS\system32\kdxlz.exe','');
QuarantineFile('C:\WINDOWS\grinders.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\system32\olesvr32f.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\pnomn.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kpu28.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\nppf.dll','');
DeleteFile('C:\WINDOWS\system32\nppf.dll');
DeleteFile('C:\WINDOWS\system32\olesvr32f.exe');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Kpu28.sys');
DeleteFile('C:\WINDOWS\system32\drivers\pnomn.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\grinders.exe');
DeleteFile('C:\WINDOWS\system32\kdxlz.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=24053
Потом свежим cureit пройтись по всем дискам, должен запуститься, сделать новые логи.
Последний раз редактировалось drongo; 05.06.2008 в 10:17.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
drongo
Даже если бы стоял- было бы почти тоже самое с правами админа
Работают на машине с правами "Пользователь". Попытки лечения проходили под Админской учеткой.
C:\WINDOWS\system32\Drivers\Kpu28.sys удалил из доса (загрузился с CD). Экземпляр приложил
Последний раз редактировалось drongo; 05.06.2008 в 10:19.
-
Файлик уберите из темы!
Kpu28.sys -Email-Worm.Win32.Agent.fy
-
-
Значит уже всё таки словили Не надо запрошенные файлы сюда прикреплять, есть ссылка, красная такая.
Ну не знаю, под "ограниченным пользователем" не возможно словить гадость в C:\WINDOWS\system32\Drivers\
скорее всего какую нибудь задачу(например браузер) от имени админа, вот и нахватали
-
-
Junior Member
- Вес репутации
- 58
Cure It показал 43 зараженных файла все в папках виндоуз, систем и систем 32. Один косяк - он их все удалил. не доглядел чуток. поставил проверяться и уехал из офиса на пару часов. соответственно Винда не грузится ни как ни обычно ни в режиме защиты от сбоев.ОС придется восстанавливать/переустанавливать..А не хотелось.
Все равно всем спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- \\bcqr00001.dta - Worm.Win32.Gadja.a (DrWEB: Trojan.DownLoader.62860)
- \\bcqr00002.dta - Worm.Win32.Gadja.a (DrWEB: Trojan.DownLoader.62860)
- \\bcqr00011.dta - Backdoor.Win32.IRCBot.dis (DrWEB: BackDoor.IRC.Tcpip)
- \\bcqr00012.dta - Backdoor.Win32.IRCBot.dis (DrWEB: BackDoor.IRC.Tcpip)
- c:\\windows\\system32\\nppf.dll - Backdoor.Win32.Agent.juq (DrWEB: Trojan.EmailSpy.124)
- c:\\windows\\system32\\olesvr32f.exe - Backdoor.Win32.IRCBot.dis (DrWEB: BackDoor.IRC.Tcpip)
- c:\\windows\\system32\\userinit.exe - Worm.Win32.Gadja.a (DrWEB: Trojan.DownLoader.62860)
-