Здравствуйте.
У меня был троян(может ещё есть). После перезапуска компьютера перестал запускаться антивирус(NOD32),пишет "not valid Win32 apllication".
NOD32 кстати вирус не уловил. О том что у меня троян я узнала через онлайн проверку Касперского.
Firewall каждый раз выключен.
Компьютер в безопасном режиме не запускается. Просто когда доходит до загрузки Windows перезапускается в обычном режиме.
Пробовала запустить ваш скрипт из раздела о том как запускать в безопасном режиме если обычным способом не получается.
Заметила что в Task manager появился процесс flec006.exe который выгрузить нельзя.
Мой товарищ помог мне сделать логи и мы послали их вам. После запуска полученого от вас скрипта,flec006.exe пропал из Task manager.
Антивирус по прежнему не запускается.
Я сделала логи ещё раз.
Почему то HiJackThis работает только когда запущен Skype. Только запущен,без логина. Подругому тут же после запуска HiJackThis его выкидываетю
Посылаю логи вам.
Помогите пожалуйста.
Заранее большое спасибо.
С уважением Нелли.
Последний раз редактировалось nelly83; 26.08.2008 в 00:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('c:\documents and settings\nellechka\application data\m\flec006.exe','');
DeleteFile('c:\documents and settings\nellechka\application data\m\flec006.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
выполните пункт 2 правил
логи повторите ...
приложите
B_d.txt и boot_clr_B_d.log
Последний раз редактировалось V_Bond; 24.08.2008 в 21:41.
Что значит отключить автозагрузку?
Это в msconfig в язычке "Start up" убрать все галочки?
С ctfmon.exe тоже? (Я слышала что если с него снять то может не подняться компьютер).
Спасибо
архив с карантином: http://virusinfo.info/showthread.php?t=28827
Сделала всё что сказали.
Пункт 2 тоже.
Dr.Web нашел и удалил flec006.exe
Что делать теперь чтобы антивирус тоже запускался?
Спасибо
Добавлено через 1 минуту
кстати опция "Shoe hidden files" в Tools отсутствует.
Нужно ли вернуть автозагрузку или пока нет?
Последний раз редактировалось nelly83; 26.08.2008 в 00:38.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: