-
Junior Member
- Вес репутации
- 60
вероятно Win32/Agent троян (svchost.exe)
nod32 периодически ругается примерно так :
24.03.09 10:02:22 Резидентний захист файлової системи файл D:\System Volume Information\_restore{50C4053B-4D79-4460-AC8C-F83C00796BA8}\RP13\A0002214.exe ймовірно, варіант Win32/Agent троян видалений - ізольований NT AUTHORITY\SYSTEM Подія з файлом, зміненим програмою: C:\WINDOWS\System32\svchost.exe.
Помогите избавиться, пожалуйста.
Последний раз редактировалось eug@vectra; 20.04.2011 в 21:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O2 - BHO: MyCentria Internet Mate v2.2 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: &Magnet manager - {E187A442-C095-4740-8B04-96C66ED20DFF} - C:\WINDOWS\system32\MagnetManager.dll
O4 - HKLM\..\RunServices: [MSys32] \morfitwebentrance.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\csrss.exe');
StopService('StaffCop Service');
QuarantineFile('morfitwebentrance.exe','');
QuarantineFile('C:\WINDOWS\fix.exe','');
QuarantineFile('c:\windows\csrss.exe','');
DeleteFile('c:\windows\csrss.exe');
DeleteFile('morfitwebentrance.exe');
DeleteFile('c:\windows\morfitwebentrance.exe');
DeleteFile('c:\windows\system32\morfitwebentrance.exe');
DeleteService('StaffCop Service');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('StaffCop Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
все выполнил.
карантин выслал. логи прилагаю.
чисто ?
Последний раз редактировалось eug@vectra; 20.04.2011 в 21:29.
-
- Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\vad.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнил, после перезагрузки карантин оказался пуст.
Файла C:\WINDOWS\system32\drivers\vad.sys теперь не существует.
Добавлено через 8 часов 26 минут
Отсутствие C:\WINDOWS\system32\drivers\vad.sys говорит о том , что у меня все чисто ?
Последний раз редактировалось eug@vectra; 25.03.2009 в 09:46.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\csrss.exe - not-a-virus:Monitor.Win32.StaffCop.i ( DrWEB: Program.Staffcop.origin )
-