-
Junior Member
- Вес репутации
- 53
Зоопарк вирусов, нет доступа на сайты антивирусов, нет обновления
Здравствуйте!
второй компьютер дома вызвал подозрение тем, что база НОД32 не обновлялась никак с 15 февраля.
Ни на какие антивирусные сайты не пускает
Запустил DrWeb LiveCD 5.02 от 19 февраля - нашел два трояна.
В папке C:\windows\system32 нашел кучу свежих exe-шников, поубивал их - без толку.
Загрузился в безопасном режиме, запустил AVPTool - нашел один-единственный троян во временных файлах интернета.
Далее, согласно правилам, прошерстил систему hijackthis AVZ, результат прикладываю.
Если надо, отдельным архивом кину экзешники, они все определяются, как трояны на virustotal.
Жду вашей помощи.
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\a7f630e1.exe','');
DeleteService('esihdrv');
QuarantineFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\esihdrv.sys','');
DeleteFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('C:\WINDOWS\system32\a7f630e1.exe');
DeleteFile('d:\73298c0a703ef75e8b621071\wgasetup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, карантин пуст, выполнил несколько раз avz - c одним и тем же результатом.
логи присылаю
-
Junior Member
- Вес репутации
- 53
Имеет ли смысл вынуть жесткий диск и проверить на другом компьютере?
Если да, то чем?
Если нет, то что делать дальше?
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll (file missing)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('ASKUpgrade');
StopService('ASKService');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DeleteService('ASKUpgrade');
DeleteService('ASKService');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe','');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
DeleteService('Bonjour Service');
DeleteFileMask('C:\Program Files\Bonjour\','*.*',true);
DeleteDirectory('C:\Program Files\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
сделал все по прописи.
Карантин пуст.
На сайты антивирусов пускает.
Обновился НОД32
что делать дальше?
Последний раз редактировалось AndreyKa; 26.02.2010 в 00:50.
Причина: убрал карантин (пустой)
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe (file missing)
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteService('ASKUpgrade');
DeleteService('ASKService');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\AskService.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите лог virusinfo_syscheck.zip
quarantine.zip не надо к форуму крепить.
-
-
+ к миднайту
посмотрите тут как фиксить О23
-
-
Junior Member
- Вес репутации
- 53
выполнил.
согласно avz, остался spsw.sys. Насколько я понял, он относится к Daemon tools и безвреден.
спасибо!
-
-