-
Junior Member
- Вес репутации
- 58
Троян удаление которого Касперским приводит к сбою системы
Касперский обнаружил зараженный файл (WINDOWS\system32\basesrv32.dll) и при лечении сообщил "будет удалено при перезагрузке компьютера: троянская программа Trojan.Win32.Inject.etk"
...удаляет
...удаление приводит к сбою системы (синий экран после перезагрузки)
Пожалуйста помогите правельно вылечить компьютер от зараженных файлов.
Последний раз редактировалось tod; 09.01.2011 в 15:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
BC_DeleteSvc('smtpdrv');
QuarantineFile('msupdate.sys','');
BC_DeleteSvc('msupdate');
QuarantineFile('E:\WINDOWS\system32\basesrv32.dll','');
SysCleanAddFile('msupdate.sys');
SysCleanAddFile('tehlink0.dll');
SysCleanAddFile('kdfsc.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
http://virusinfo.info/upload_virus.php?tid=30128
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к этой теме.
PS Пора уже Service Pack 3 на Windows устанавливать (может потребоваться активация).
-
-
Junior Member
- Вес репутации
- 58
1 Выполнил скрипт;
2 Послал файлы из карантина AVZ:
"Результат загрузки
Файл сохранён как 080914_035158_virus_48ccd0aed0618.zip
Размер файла 14292
MD5 94c8c0845d55e81ddede30068baacc72
Файл закачан, спасибо!";
3 Сделал новые логи начиная с 10-го пункта правил;
Скажите пожалуйста, я всё правельно сделал, лечение завершено?
Последний раз редактировалось tod; 09.01.2011 в 15:18.
-
Все правильно.
В логах ничего зловредного не видно.
Для очистки мусора пофиксте в HijackThis следующие строки:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: sysfldr - E:\WINDOWS\
O20 - Winlogon Notify: tehlink0 - E:\WINDOWS\
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - (no file)
Файл E:\WINDOWS\system32\basesrv32.dll тоже можно удалить.
Как я понимаю, проблем больше нет?
-
-
Junior Member
- Вес репутации
- 58
1 профиксил в HijackThis;
2 basesrv32.dll удалил;
Верно, проблем не осталось, ОС загружается и работает.
Большое, Вам, спасибо!
Спасибо, разработчикам AVZ и HijackThis!
Я приятно удивлен насколько просто и быстро по времени оказалось лечение под вашим руководством с использованием софта AVZ и HijackThis.
Были бы рекламные блоки (типа google) на вашем сайте, я обязательно, несколько раз за неделю обращал бы на них внимание , так сказать небольшая, материальная благодарность
А так, при первом удобном случае расскажу про вашу помощь и софт на других ресурсах.
Еще раз, спасибо!
-
tod, каким образом Вы собираете логи и выполняете скрипты AVZ, если Ваш компьютер не может загрузиться ("синий экран после перезагрузки")?
-
-
Junior Member
- Вес репутации
- 58
Всё просто, несколько операцинных систем на одном жестком диске и у есть меня полная-резервная копия жёсткого диска (диск №2, клон диска №1).
К сожалению копия тоже заражена, но в данном случае оказалось, что не делается, всё к лучшему... я просто восстанавливал удалённый файл с клонированного жесткого диска.
Кстати, для AVZ была бы очень полезна опция создание резервной копии файлов, клоникование всего жесткого диска...
-
Все ясно.
В таком случае сделайте еще раз логи, загрузившись с вылеченной системы. Вполне вероятно, что там необходимо почистить реестр от остатков вируса.
-
-
Junior Member
- Вес репутации
- 58
В правилах, пункт 7 - Отключите восстановление системы (Windows Me/XP).
В следующих пунктах не нашёл указаний про включение восстановления системы.
Так как лечение завершено,
я понимаю, что восстановление системы мне можно включить?
-
Были бы рекламные блоки (типа google) на вашем сайте, я обязательно, несколько раз за неделю обращал бы на них внимание , так сказать небольшая, материальная благодарность
Вариантов нас отблагодарить много, выбирайте на свой вкус:
http://virusinfo.info/showthread.php?t=17130
Добавлено через 1 минуту
Сообщение от
tod
Так как лечение завершено,
я понимаю, что восстановление системы мне можно включить?
Давайте новые логи. Если там все будет хорошо, то можно будет включить.
Последний раз редактировалось AndreyKa; 14.09.2008 в 15:00.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Технически дело было так:
Два жестких диска (две коробочки):
- диск 1 - рабочий
- диск 2 - клон (резервная копия)
На диск 1 попал вирус (basesrv32.dll)
Диск 2 клонирован с вирусом
На диске 1 Касперский обнаружил вирус, удалил, система перестала работать
С диска 2 на диск 1 был скопирован файл basesrv32.dll
Диск 1 снова стал работать, на нем я и производил лечение и общение с вашей дружелюбной командой
Итог:
диск 1 вылечен (спасибо вам)
диск 2 заражён, но нет смысла его лечить, так как я скоро перезапишу его данными с диска 1, из за плановой операции клонирования
Сейчас антивирусник не ругается.
Разве лечение не закончено?
Какие пункты правил мне снова выполнять?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- e:\\windows\\system32\\basesrv32.dll - Trojan.Win32.Inject.etk (DrWEB: Trojan.Inject.3759)
-