ОС winXP pro sp2, NOD32 обнаружил шпиона после чего комп перезагрузился, NOD перестал мониторить, ОС выдаёт "Windows has detected spyware infection!". Помогите пожалуйста.
Примечание: AVZ не запускалась, пришлось переименовать на AV.pif
ОС winXP pro sp2, NOD32 обнаружил шпиона после чего комп перезагрузился, NOD перестал мониторить, ОС выдаёт "Windows has detected spyware infection!". Помогите пожалуйста.
Примечание: AVZ не запускалась, пришлось переименовать на AV.pif
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\yrow.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\rbib.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\braviax.exe',''); DeleteFile('C:\WINDOWS\braviax.exe'); DeleteFile('C:\WINDOWS\System32\braviax.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\rbib.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\yrow.exe'); DeleteFile('C:\WINDOWS\cru629.dat'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\taran\Local Settings\Temp\BN17.tmp'); DeleteFile('C:\Documents and Settings\taran\Local Settings\Temp\BN1B.tmp'); DeleteFile('C:\Documents and Settings\taran\Local Settings\Temp\BN591.tmp'); DeleteFile('C:\Documents and Settings\taran\Local Settings\Temp\BNA.tmp'); DeleteFile('C:\Documents and Settings\taran\Local Settings\Temporary Internet Files\Content.IE5\VP9TXGNO\Install[1].exe'); DeleteFile('C:\WINDOWS\Temp\BN13.tmp'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN3.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25680).
Удалите временные файлы IE через "Свойства обозревателя.
Очистите папки:
C:\WINDOWS\Temp
C:\Documents and Settings\taran\Local Settings\Temp
Сделайте новые логи.
I am not young enough to know everything...
два файла из папки ...taran\Local setings\temp не захотели удаляться
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - AppInit_DLLs: cru629.dat
Компьютер перезагрузится.Код:begin BC_DeleteSvc('Beep'); BC_Activate; RebootWindows(true); end.
Повторите логи, начиная с п.10 правил.
I am not young enough to know everything...
сделал
Логи чистые. Какие-то проблемы остались?
I am not young enough to know everything...
NOD грузится гораздо дольше обычного, на рабочем столе остался некий delself.bat
Добавлено через 4 часа 48 минут
delself.bat удалять можно?
Последний раз редактировалось dsa2; 02.07.2008 в 18:28. Причина: Добавлено
Удаляйте конечно.
I am not young enough to know everything...
NOD стал работать нормально, проверив диски он опять нашёл трояна и шпиона в system32, предложил удалить, что и было сделано, затем я перезагрузился и проверил ещё раз он нашёл шпиона в _restore, удалил, повторил перезагрузку и проверку, он ничё не нашёл. Расслабиться можно?
Можно
I am not young enough to know everything...
СПАСИБО!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\rbib.exe - Hoax.Win32.Bravia.hi (DrWEB: Trojan.Packed.596)
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\yrow.exe - Hoax.Win32.Bravia.hi (DrWEB: Trojan.Packed.596)
- c:\\windows\\braviax.exe - Trojan-Downloader.Win32.FraudLoad.vaey (DrWEB: Trojan.Packed.596)
- c:\\windows\\system32\\cru629.dat - Backdoor.Win32.Small.ejx (DrWEB: Trojan.Proxy.1739)
- c:\\windows\\system32\\drivers\\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.45
- c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.c (DrWEB: Trojan.Fakealert.72
Уважаемый(ая) dsa2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.