-
Junior Member
- Вес репутации
- 57
Autoruner.2805 и не только
DrWeb начал обнаруживать autorun.inf и слетел интернет (WinXP), т.к. в момент подключения кто-то подставлял свои DNS: 85.255.116.34 и 85.255.112.106.
На здоровом комп. скачал всё, что Вы рекомендуете в Ваших правилах.
CureIT нашел и удалил dazsax.dll и twext.exe (в sys.32).
Утилита Касперского обнаружила "Новавя угроза Hidden.Object" - kdmgt.exe (в sys32), но не смогла ничего сделать. Пришлось удалить вручную.
AVZ (запустил точно по Вашим пунктам) проработал 31% и завис: стали выскакивать бесконечное кол-во окон "Accessviolationataddress 00402254 inmodule ‘avz.exe’. Writeofaddress 4643535D".
Далее вручную нашел и удалил cscdll.dll, т.к. на форуме видел подобный случай.
В результате описанных действий прекратились появления autorun.inf , но проблемы с интернетом остались. Кроме того Windowsперестала нормально загружаться: только через F8, если выбрать “последняя работоспособная конфиг.”
Что посоветуете?
Спасибо.
Okomaster
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
Невозможно прислать LOG-файлы, т.к. виснет AVZ.
-
-
-
Junior Member
- Вес репутации
- 57
На форуме говорили, что также можно попробывать прочистить реестр от вирусных DNS или воспользоваться Spybot.
Прочистил. Не помогло: в момент подключения эти DNS снова появлялись в реестре и блокировали интернет.
Воспользовался Spybot (www.spybot.info) - все проблемы исчезли.
СПАСИБО ФОРУМУ И ЕГО ХЕЛПЕРАМ!!!!!!!!!!
-
-
-
Junior Member
- Вес репутации
- 57
Извиняюсь за задержку LOG-файлов.
Последний раз редактировалось okomaster; 26.09.2010 в 10:22.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\kdmgt.exe','');
DeleteFile('C:\WINDOWS\system32\kdmgt.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил. После перезагрузки комп. Spybot сказал:
"обнаружил изменение ... реестра...
Категория: System Startup global entry
Изменение: Значение удалено
Запись: C:\Win\System32\kdmgt.exe"
Я выбрал Разрешить.
Карантин выслал.
При попытке создания логов зависла AVZ.
Попробывал новую версию "evrika.exe" - то же самое.
Перегрузил комп. - получился 1-й лог с пом. AVZ.
Ещё раз перегрузил, чтобы создать 2-й лог.
Начал выгружать резидентов. В момент выгрузки Spybot произошло
следующее: Spider Guard нашел у него трояна и удалил.
Все логи прилагаются.
Последний раз редактировалось okomaster; 26.09.2010 в 10:22.
-
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Началась небольшая неприятность: при загрузке Windows виснет на "Приветствие" (светится диск А и HDD). Делаю reset - грузится нормально...
-
Давайте еще раз логи (а что мы еще можем вам ответить? )
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 57
Логи высылаю.
Windows при старте виснет не всегда (после очистки было 4 раза),
примерно в 10-20% случаев.
Последний раз редактировалось okomaster; 26.09.2010 в 10:22.
-
C:\WINDOWS\system32\drivers\Ndisprot.sys похож на трояна, пришлите копию (Приложение 2 правил)
Последний раз редактировалось drongo; 08.12.2008 в 20:52.
-
-
Junior Member
- Вес репутации
- 57
файл (карантин) закачал
Добавлено через 1 час 59 минут
Вдруг заглючил диск D (2-й винт, NTFS, разбит на два: D и Е), Windows перестал его читать (говорит, что система RAW). Пришлось отфармотировать.
Последний раз редактировалось okomaster; 09.12.2008 в 01:04.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-