KIS 7.0 при проверке выдал что в модуле scvhost.exe троян Trojan.Win32.Agent.goa и не смог удалить, подозреваю, что есть еще какаие-нибудь зловреды. Все логи прилагаю
KIS 7.0 при проверке выдал что в модуле scvhost.exe троян Trojan.Win32.Agent.goa и не смог удалить, подозреваю, что есть еще какаие-нибудь зловреды. Все логи прилагаю
Скачать IceSword
Через force delete удалить:
C:\WINDOWS\system32\Drivers\Nsx83.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
Затем выполнить скрипт:
Профиксить:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); BC_DeleteSvc('ovrscn'); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys',''); BC_DeleteSvc('Nsx83'); BC_DeleteSvc('tcpsr'); QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx83.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Nsx83.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После этого сделать новые логи. Загрузить карантин по Правилам.Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing) O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
через force delete в IceSword смог удалить только
C:\WINDOWS\system32\Drivers\Nsx83.sys
второго файла не было
после перезагрузки машины касперский выдал следующее:
не найдено: троянская программа Trojan.Win32.Agent.goa Модуль: svchost.exe\svchost.exe
обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\System32\svchost.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\system32\services.exe
удалено: троянская программа Trojan.Win32.Agent.mwo Файл: C:\WINDOWS\system32\drivers\tcpsr.sys
обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\WINDOWS\System32\svchost.exe
обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\System32\svchost.exe
после этого выполнил скрипт AVZ и пофиксил в HijackThis
карантин выслал
Файл сохранён как080919_044740_virus_48d3753c937c9.zip
Размер файла25092
MD5a3cf06813f845632635bcac34268e245
новые логи прикладываю
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys',''); DeleteService('ovwscn'); DeleteService('ldiskl'); DeleteService('ati6osxx'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ldiskl.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc(' ovwscn'); BC_DeleteSvc('ldiskl'); BC_DeleteSvc('ati6osxx'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
скрипт выполнил, после перезагрузки очистил темп-папки, кэш проводников и корзину.
карантин выслал, логи прикладываю
кстати, после выполнения скрипта и перезагрузки, windows стала просить установить драйвера на какое-то устройство, точно не видео и звук, тк там все впорядке
при открытии любой старнички в IE касперский сразу ругается:
19.09.2008 14:19:26 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3040
19.09.2008 14:19:26 C:\WINDOWS\system32\services.exe
Действие запрещено.
19.09.2008 14:20:10 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3440
19.09.2008 14:20:10 C:\WINDOWS\system32\services.exe
Действие запрещено.
19.09.2008 14:20:11 C:\WINDOWS\system32\services.exe
Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 668 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 3520
19.09.2008 14:20:11 C:\WINDOWS\system32\services.exe
Действие запрещено.
Последний раз редактировалось Rene-gad; 19.09.2008 в 14:57.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\ati6osxx.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O15 - Trusted Zone: www.archiviosex.net O15 - Trusted Zone: www.contentdiscount.info O15 - Trusted Zone: www.extremeaccess.info
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys',''); DeleteService('ati6osxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati6osxx'); executerepair(2); executerepair(3); executerepair(4); executerepair(6); executerepair(8); executerepair(9); executerepair(13); executerepair(11); executerepair(16); executerepair(17); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы
- Прикрепите логи к новому сообщению.
все сделал, логи прикрепляю, карантин выслал
в диспетчере устройств по прежнему висит неизвестное устройство и windows просит установить драйвера
Удалить устройство не получается?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati6osxx'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6osxx.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati6osxx'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.
перед выполнением скрипта удалил из диспетчера это устройство, выполнил скрип, комп перезагрузился, устройство больше не пояивлось
новые логи прикрепляю
Вроде убили гада.
Жалобы есть?
нет, все работает нормально )) спасибо за помощь
Сервис Пак 3 поставьте, возможно потребуется активация системы.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Agent.aecq (DrWEB: BackDoor.Bulknet.239)
Уважаемый(ая) DihaZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.