Ни в безопасном режиме ручками, ни Доктором, ни Касперским - никак не могу удалить Мауса (mousehook.dll). Подсобите, pls!
Ни в безопасном режиме ручками, ни Доктором, ни Касперским - никак не могу удалить Мауса (mousehook.dll). Подсобите, pls!
Последний раз редактировалось Ивпал; 08.06.2010 в 12:46.
Обновите базы AVZ! (файл- обновление баз)
Логи переделать...
Повторные логи...
Последний раз редактировалось Ивпал; 08.06.2010 в 12:46.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Затем выполните http://virusinfo.info/showpost.php?p=114778&postcount=1 (настройки будут сброшены их нужно будет ввести заново)...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\ntdll64.dll',''); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('huy32'); QuarantineFile('C:\WINDOWS\system32:huy32.sys',''); DeleteService('fanxctrld'); QuarantineFile('C:\WINDOWS\system32\fanxctrld.sys',''); DeleteFile('C:\WINDOWS\system32\fanxctrld.sys'); DeleteFile('C:\WINDOWS\system32:huy32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\ntdll64.dll'); DeleteFile('C:\System Volume Information\_restore{094A6EDE-C701-4379-A902-EF8887E40788}\RP143\A0026839.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('VIDEO'); BC_DeleteSvc('systemntmi'); BC_DeleteSvc('netsik'); BC_DeleteSvc('huy32'); BC_DeleteSvc('fanxctrld'); BC_Activate; RebootWindows(true); end.
Пришлите карантин по правилам и повторите логи...
Вроде все чистенько, хотя сам mousehook, с которого всё началось, по-прежнему сидить в /Temp директории...
Новые логи после лечения...
Последний раз редактировалось Ивпал; 08.06.2010 в 12:46.
Карантин выслал...
userinit.exe-Trojan-Downloader.Win32.Agent.bjuu его нужно заменить на чистый из дистрибутива...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SetAVZGuardStatus(True); DeleteFile('abijmael.dll'); QuarantineFile('C:\Documents and Settings\Basil Pro\Local Settings\Temp\mousehook.dll ',' '); QuarantineFile('C:\Documents and Settings\Irina\Irina.exe ',' '); DeleteFile('C:\Documents and Settings\Irina\Irina.exe '); DeleteFile('C:\WINDOWS\SYSTEM32\abijmael.dll'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин выслал.
Повторные логи...
Последний раз редактировалось Ивпал; 08.06.2010 в 12:46.
Подождем ответа аналитиков...
mousehook.dll-Trojan-Downloader.Win32.Agent.bjwj
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Basil Pro\Local Settings\Temp\mousehook.dll'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Логи от 6 марта...
Последний раз редактировалось Ивпал; 08.06.2010 в 12:46.
Пофиксить
В логах чисто, установите SP3+all updates...Код:O20 - Winlogon Notify: abijmael - C:\WINDOWS\
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\basil pro\local settings\temp\mousehook.dll - Trojan-Downloader.Win32.Agent.bjwj( BitDefender: Gen:Trojan.Heur.P1048B7F7F7 )
- c:\system volume information\_restore{094a6ede-c701-4379-a902-ef8887e40788}\rp143\a0026839.exe - Trojan.Win32.Agent.bsts( DrWEB: Trojan.MulDrop.30425 )
- c:\windows\system32\userinit.exe - Trojan-Downloader.Win32.Agent.bjuu( BitDefender: Trojan.Dropper.Agent.UKT )
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.