Помогите удалить пожалуйста
SpamTool.Win32.Small.z
Помогите удалить пожалуйста
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); QuarantineFile('C:\WINDOWS\Temp\1.tmp',''); QuarantineFile('c:\windows\temp\1.tmp',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe',''); QuarantineFile('C:\windows\system32\shimgvw.dll',''); DelBHO('{B200799F-9538-403d-9A6E-36F5942EC540}'); DelBHO('{453C1118-A500-4188-BC8D-E196075601BE}'); QuarantineFile('C:\windows\system32\fklame32.dll',''); QuarantineFile('C:\windows\system32\fbilib.dll',''); QuarantineFile('C:\windows\system32\msiconf.exe',''); QuarantineFile('C:\windows\system32\ntos.exe',''); StopService('synsend'); SetServiceStart('synsend', 4); DeleteService('synsend'); DeleteService('ati0ioxx'); QuarantineFile('C:\windows\System32\Drivers\ati0ioxx.sys',''); DeleteService('SLService'); QuarantineFile('SLService.sys',''); QuarantineFile('C:\windows\system32\drivers\synsenddrv.sys',''); QuarantineFile('dwshd.sys',''); DeleteFile('dwshd.sys'); DeleteFile('C:\windows\system32\drivers\synsenddrv.sys'); DeleteFile('SLService.sys'); DeleteFile('C:\windows\System32\Drivers\ati0ioxx.sys'); DeleteFile('C:\windows\system32\ntos.exe'); DeleteFile('C:\windows\system32\msiconf.exe'); DeleteFile('C:\windows\system32\fbilib.dll'); DeleteFile('C:\windows\system32\fklame32.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe'); DeleteFile('c:\windows\temp\1.tmp'); DeleteFile('C:\WINDOWS\Temp\1.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Файл сохранён как 081130_075537_virus_49329b59d07b7.zip
MD5 1490eabac5dfd2c704992e9654f4a9ea
скачайте C:\windows\system32\drivers\synsenddrv.sys ,C:\windows\system32\Drivers\ati0ioxx.sys - force delete
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{B200799F-9538-403d-9A6E-36F5942EC540}'); DelBHO('{453C1118-A500-4188-BC8D-E196075601BE}'); DeleteService('hfgkruwnfq'); QuarantineFile('C:\windows\system32\drivers\xqkutgmqvugi.sys',''); DeleteService('ati0ioxx'); DeleteFile('C:\windows\system32\Drivers\ati0ioxx.sys'); DeleteFile('C:\windows\system32\drivers\synsenddrv.sys'); DeleteFile('C:\windows\system32\drivers\xqkutgmqvugi.sys'); DeleteFile('msiconf.exe'); DeleteFile('C:\windows\system32\fbilib.dll'); DeleteFile('C:\windows\system32\fklame32.dll'); DeleteFile('c:\windows\temp\1.tmp'); DeleteFile('C:\WINDOWS\Temp\1.tmp'); DeleteFile('C:\WINDOWS\Temp\11.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Сделал как надо, но только вот C:\windows\system32\drivers\synsenddrv.sys не нашел, а ati0ioxx.sys удалил
Файл сохранён как 081130_091051_virus_4932acfb31452.zip
Размер файла 40650
MD5 f5b4ff901c96a775a89842e28f0d146e
отключите антивирус и фаерволл
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{B200799F-9538-403d-9A6E-36F5942EC540}'); DelBHO('{453C1118-A500-4188-BC8D-E196075601BE}'); DeleteService('synsend'); DeleteService('hfgkruwnfq'); DeleteService('ati0ioxx'); DeleteFile('C:\windows\System32\Drivers\ati0ioxx.sys'); DeleteFile('C:\windows\system32\drivers\xqkutgmqvugi.sys'); DeleteFile('C:\windows\system32\drivers\synsenddrv.sys'); DeleteFile('C:\windows\system32\fbilib.dll'); DeleteFile('C:\windows\system32\fklame32.dll'); DeleteFile('c:\windows\temp\1.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 30.11.2008 в 19:45.
как сейчас? в темпе все равно появляется файл
FlashGet удалите его сервера взломаны, очистите временные папки, кеш браузера, делайте полную проверку CureIT/AVPTool и повторите логи...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\xqkutgmqvugi.sys - Trojan.Win32.Pakes.lph (DrWEB: Trojan.NtRootKit.2415)
- c:\\windows\\temp\\1.tmp - Trojan-Mailfinder.Win32.Small.aj (DrWEB: Trojan.EmailSpy.167)
Уважаемый(ая) Ruslanabk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
