-
Junior Member
- Вес репутации
- 58
заражение (симантек постоянно ругается на трояны )
Все по правилам.
В сейфмоде отсканировал AVPTool и CureIt!
Оба ругались на зараженный "services". Касперский уверенно отрапортовал что все пофиксил, но мало ли? Посмотрите пожалуйста все ли чисто?
Исполняемые файлы переименованы!
AVZ - coo_coo.pif
HJT - game2.pif
Последний раз редактировалось kamuri; 13.01.2010 в 17:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 58
я и слово волшебное знаю....
-
У нас свои дела тоже есть
Пофиксить
Код:
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Это ваши DNS?
Код:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70
Если нет тоже пофиксить.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7287293E-B0BE-4A31-B52B-EA15F57679E3}');
QuarantineFile('C:\WINDOWS\vmgspntbnrp.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('srserviceVSS');
DeleteService('SoundMAXLmHosts');
QuarantineFile('srv.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\dump_atapi.sys');
DeleteFile('00000F2D.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\vmgspntbnrp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('synsend');
BC_DeleteSvc('srserviceVSS');
BC_DeleteSvc('SoundMAXLmHosts');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Спасибо!
Да, DNS-ы не мои... пофиксил.
Там в карантине "doc.pif" это мой крео на тему переименования ехе-шников, это от Доктора утилитка )
Последний раз редактировалось kamuri; 13.01.2010 в 17:46.
-
Скачать,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\drivers\synsenddrv.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('xqzwmnn');
QuarantineFile('C:\WINDOWS\system32\drivers\ubycfhvgbpckew.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ubycfhvgbpckew.sys');
DeleteFile('000011AF.sys');
DeleteFile('C:\WINDOWS\system32\drivers\000011AF.sys ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('xqzwmnn');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Айссворд такого файла не нашел, фара тоже.
C:\WINDOWS\system32\drivers\synsenddrv.sys
Иду по списку далее.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось kamuri; 13.01.2010 в 17:46.
-
Junior Member
- Вес репутации
- 58
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Все сделал, прошу прощения что так долго, ковыряюсь через MSTSC.
Последний раз редактировалось kamuri; 13.01.2010 в 17:45.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('xqzwmnn');
DeleteFile('C:\WINDOWS\system32\drivers\ubycfhvgbpckew.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('xqzwmnn');
BC_Activate;
RebootWindows(true);
end.
Повторите логи AVZ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось kamuri; 13.01.2010 в 17:45.
-
-
-
Junior Member
- Вес репутации
- 58