странный вирус, при загрузке копьютера nod32 всегда находит какие-то подозрительные файлы на подобие Nly32.sys, а также tcpsr.sys
подозреваю сабж.
странный вирус, при загрузке копьютера nod32 всегда находит какие-то подозрительные файлы на подобие Nly32.sys, а также tcpsr.sys
подозреваю сабж.
Вот что получилось:
Пара файликов там интересных есть. Надо загрузить карантин через ссылку.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\win_6.dll',''); QuarantineFile('C:\temp\123\Agent.exe',''); DeleteService('Yfu63'); DeleteService('Xyr31'); DeleteService('Xhs20'); DeleteService('Wua43'); DeleteService('Wkp67'); DeleteService('tcpsr'); DeleteService('Aif05'); SetServiceStart('Aif05', 4); DeleteFile('C:\WINDOWS\system32\WinNt64.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Aif05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ama16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ant57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Aqc04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Aty18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Chm13.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Clt32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dao05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ddj66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Eef28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ftp23.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ilp44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jou50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kcr75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Min00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mpj83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pch45.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Spw14.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tmr65.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wkp67.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wua43.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xhs20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xyr31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yfu63.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт выполнен. как сказал AVZ - без ошибок.
но почему-то в карантине был только один файлик, который и был выслан по ссылке.
Профиксить в Хиджаке:
Outpost у Вас был установлен?Код:F2 - REG:system.ini: Shell= O20 - Winlogon Notify: WinNt32 - WinNt64.dll (file missing)
Если Вы его удалили, то надо пролечиться от его остатков. Для этого скачать Winsockxpfix. Сохранив предварительно сетевые настройки, запустить утилиты. После нее сетевые настройки надо будет восстановить.
Вот этот файлик поискать:
c:\windows\system32\win_6.dll
Если найдется, то прислать через карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Winsockxpfix чего-то там пофиксилось.
файлика win_6.dll нигде не видно.
но ссылочка в HijackThis на этот файлик видна.
Код:O20 - AppInit_DLLs: c:\windows\system32\win_6.dll
Его искал через AVZ?
Если не найдется, то профикси эту строчку.
После этого нужны новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
искал через AVZ, "сервис - поиск файлов на диске" - нету
даже странно.. а что это могло быть?
пофиксил в HijackThis.
вот новые логи.
Выполните скрипт
После перезагрузки закачайте карантин и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Nly32'); DeleteService('Osx46'); DeleteService('Uoj53'); QuarantineFile('C:\temp\123\Agent.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Osx46.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nly32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Uoj53.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Uoj53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nly32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Osx46.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
после выполнения скрипта почему-то в карантин ничего нужного не попало. вот логи выполнения скрипта и стандартные после перезагрузки.
карантин тоже передаю.
В логах ничего плохого. Как работает ПК?
Если интересно, то можешь почитать:
http://www.threatexpert.com/report.a...3-f0b62fe0f19a
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не-а. Его раньше а/вирус убил, а в реестре следы остались.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Mad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.