-
Junior Member
- Вес репутации
- 55
Трояны в системе
Добрый день! В последние 2 недели атакуют троянские программы. "Побывал" у меня и Malware Doctor, и System Security 2009, вроде все поубивалось Др. Вэбом, но время от времени зараженные файлы продолжают обнаруживаться в реальном времени. Др. Вэб находит Trojan.MulDrop.31860; Trojan Fakealert.4333; Trojan Fakealert.4380; Trojan.Download.33781. Утилита AVP в безопасном режиме нашла Backdoor.win32.NewRest; FraudTool.win32.MalwareDoctor; Trojan.win32.Agent.bzzx. Все вроде поудалялось. Я не спец в этом, но стараюсь Логи прилагаю, помогите пож-ста, понять, осталось что-то вредоносное на компе или нет. Спасибо.
Последний раз редактировалось К_э_т; 09.06.2009 в 22:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}');
QuarantineFile('jbnmcd.dll','');
QuarantineFile('digiwet.dll','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atikmdag.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('appmgmtalg');
QuarantineFile('C:\WINDOWS\system32\Setupj.exe','');
DeleteService('MSDTCNetlogon');
QuarantineFile('C:\WINDOWS\system32\wpv041235998315.cpx srv','');
QuarantineFile('C:\WINDOWS\System32\avast!Antivirus.exe','');
DeleteService('avast!antivirus');
DeleteFile('C:\WINDOWS\System32\avast!Antivirus.exe');
DeleteFile('C:\WINDOWS\system32\wpv041235998315.cpx srv');
DeleteFile('C:\WINDOWS\system32\Setupj.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\atikmdag.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('digiwet.dll');
DeleteFile('jbnmcd.dll');
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 55
А карантин из каких файлов должен состоять? что именно прислать?
-
Junior Member
- Вес репутации
- 55
Скрипт я выполнила, вот свежие логи.
Последний раз редактировалось К_э_т; 09.06.2009 в 22:36.
-
-
-
Junior Member
- Вес репутации
- 55
Отправила карантин, надеюсь, пришло все
Добавлено через 8 минут
http://virusinfo.info/showthread.php?t=43700 Вот это в реестре выполнила
Последний раз редактировалось К_э_т; 06.06.2009 в 00:06.
Причина: Добавлено
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Вот и новые логи. ПС: А восстановление системы так и должно быть отключено? Или обратно включить?
Последний раз редактировалось К_э_т; 26.02.2010 в 00:13.
-
Сообщение от
К_э_т
ПС: А восстановление системы так и должно быть отключено? Или обратно включить?
Можете включить.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Ничего плохого в логах? т.е. можно считать, комп здоров? А подскажите, включать обратно Восстановление системы или нет: И еще: AVZ красным цветом выделяет, что у меня разрешен автозапуск со съемных носителей и это опасно, лучше отключить - и как это сделать?
-
Я сейчас посмотрела логи, а там оказывается не все чисто.
Добавлено через 24 минуты
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvidctl.dll','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=47312
3. Повторите лог virusinfo_syscheck.
Последний раз редактировалось Aleksandra; 07.06.2009 в 23:25.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Выполнила скрипт. Насчет карантина: у меня папка "Просмотр карантина" за сегодняшнее число (после выполнения скрипта) - пустая. Новый лог прилагаю.
Последний раз редактировалось К_э_т; 26.02.2010 в 00:13.
-
Приведите Ваш файл WINDOWS\system32\drivers\etc\hosts в соответстие с образцом отсюда: http://saule.sporaw.ru/library/hosts.html
-
-
Junior Member
- Вес репутации
- 55
У меня в этом файле написано следующее: 127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy.
А потом следует огромное количество названий сайтов, по-видимому, вредоносных, судя по их названиям. Чтобы у меня были там заблокированы сайты типа Касперского или Др.Вэба, я не заметила. Что со всем этим делать?
-
Сообщение от
К_э_т
Что со всем этим делать?
Я ж Вам сказал - удалить. И Spybot Search and Destroy - туда же.
-
-
1. Выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\msvidctl.dll','');
ClearHostsFile;
SetAVZPMStatus(true);
RebootWindows(true);
end.
2. Пришлите содержимое карантина согласно правилам по ссылке http://virusinfo.info/upload_virus.php?tid=47312
3. Повторите логи AVZ.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Rene-gad
Spybot Search and Destroy - туда же.
Простите, если я где-то чего-то недопонимаю, Spybot Search and Destroy - и саму программу тоже удалить с компа?
Последний раз редактировалось Rene-gad; 10.06.2009 в 10:46.
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Aleksandra
1. Выполните скрипт:
Скрипт выполнила.
Сообщение от
Aleksandra
тут опять что-то не то: папка карантина пустая... Открываю Файл -- Просмотр карантина, там стоит сегодняшнее число, но раздел пустой((
Сообщение от
Aleksandra
3. Повторите логи AVZ.
Логи повторила.
Насчет Spybot'а поняла, сейчас тогда деинсталлирую.
Последний раз редактировалось К_э_т; 26.02.2010 в 00:13.
-
Сердце решает кого любить... Судьба решает с кем быть...
-