Nod при старте системы ругается на найденый вирус в файлах
Код:
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.09.2009 11:57:17 AMON файл C:\WINDOWS\TEMP\BN13.tmp модифицированный Win32/Kryptik.AKT троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\system32\services.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
Тоесть что-то пытается создать эти файлы, при проверке системы в безопасном режиме ничего не находит.
При запуске скрипта в AVZ в папке LOG ничего не создается, прикладываю сохраненый протокол.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи и приложите к этой теме.
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.09.2009 15:42:28 AMON файл C:\Documents and Settings\DiBrain\sys32_nov.exe Win32/TrojanDownloader.Bredolab.AA троян NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\Program Files\Java\jre6\bin\jqs.exe.
Вроде отлечил, но что-то странно система себя ведет. Пару раз после перезагрузки вылетало окно что произошел сбой и будет перезагрузка через минуту и таймер обратного отсчета. К сожалению не сохранил скриншот, а в логах системы на этот счет странно пусто.
Настораживает ключ в реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "Regedit32"="C:\\WINDOWS\\system32\\regedit.ex e" он появляется после ручного удаления
файла самого в тотал командере невидно
Вот новые логи:
(удалил логи, делаю новые, сначала не то прикрепил.)
Последний раз редактировалось bnwa; 15.09.2009 в 17:15.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Системный файл C:\WINDOWS\system32\Drivers\agp440.sys подменен троянским.
Его надо заменить на чистый.
Как заменить системный файл: http://virusinfo.info/showthread.php?t=51654
Затем сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
правильно ли я понял, скрипт создает карантин, но не удаляет эти файлы. Прислать карантин вам для проверки.
Потом надо заменить agp440.sys на живой. могу его вытащить с дистрибутива но под виндой, рескью диска нету, поможет ли замена файла под загруженой виндой (если там возможно в памяти зараза сидит)? Или все же найти рескью диск и делать с него?
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(1);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\DiBrain\sys32_nov.exe','');
DeleteFile('C:\Documents and Settings\DiBrain\sys32_nov.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
NOD успокоился?
Бяк было много, но в карантин попала одна:
C:\WINDOWS\system32\Drivers\agp440.sys = Trojan.DownLoad.47257
Возможно, этот троян и закачивал из Интернета все остальные.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: