NOD постоянно выдает предупреждение:
a variant of Win32/Injector.BGQ trojan connection terminated
Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
NOD постоянно выдает предупреждение:
a variant of Win32/Injector.BGQ trojan connection terminated
Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
Последний раз редактировалось Isa_1975; 09.04.2010 в 19:04.
Активную ссылку уберите!
Добавлено через 5 минут
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('c:\windows\system32\termsrv.dll',''); QuarantineFile('C:\WINDOWS\system32\mtct.kio',''); DeleteFile('C:\WINDOWS\system32\mtct.kio'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1715567821-1214440339-725345543-1007\Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1715567821-1214440339-725345543-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Последний раз редактировалось DefesT; 09.04.2010 в 18:50. Причина: Добавлено
Предварительно запустила zbotkiller, логи соответственно поменялись. Гляньте, пожалуйста
Карантина нет...
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe mtct.kio skvskh
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\mtct.kio'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_DeleteFile('C:\WINDOWS\system32\mtct.kio'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Карантин мой Nod32 забрал в свой карантин - файл-то я восстановила, но по правилам запаковать его не получается. Можно просто заархивировать dta-файл?
Скрипт выполнила, новые логи сделала.
можно и отправить
Добавлено через 1 минуту
Сделайте такой лог .
Последний раз редактировалось polword; 13.04.2010 в 05:32. Причина: Добавлено
Отправила карантин.
Сделала новый лог.
1. удалить в MBAM
2. - Выполните скрипт в AVZКод:Зараженные модули в памяти: c:\WINDOWS\system32\termsrv.dll (Trojan.Patched) -> No action taken. Зараженные ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice (Trojan.Patched) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Зараженные папки: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\WINDOWS\system32\termsrv.dll (Trojan.Patched) -> No action taken.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\WINDOWS\system32\termsrv.dll',''); QuarantineFile('C:\WINDOWS\system32\Crypt.dll ',''); QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE ',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные лог MBAM
У меня XP работает в качестве терминального сервера. termsrv.dll - это как раз именно то, что нужно. Хотя не спорю, может быть файл и заражен. Если я его удалю, какие могут быть последствия?
Не удаляйте его. Выполните скрипт AVZ, карантин закачайте
The Truth is Out There
Удалила в MBAM все, кроме termsrv.dll
Запустила скрипт в Avz - карантин выслать не получается, пишет "ошибка загрузки, данный файл уже был загружен"
Как мне его пропихнуть?
C:\WINDOWS\system32\termsrv.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Заархивируйте вручную с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темыКод:C:\WINDOWS\system32\Crypt.dll C:\WINDOWS\Prefetch\EXPLORER.EXE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Указанные файлы заархивируйте и пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, заархивировала - карантин выслала
Файлы в порядке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновляйте систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Вам ведь была выдана рекомендация заменить его. Вы ее выполняли?
The Truth is Out There
vegas, заменила на чистый файл
Старый нужен в карантин?
Уважаемый(ая) Isa_1975, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.