Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите убить Backdoor.win32.small.os (заявка № 9725)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35

    Thumbs up Помогите убить Backdoor.win32.small.os

    Здравствуйте.
    Касперский обнаруживает этот вирус, но вылечить не может. Постоянно создается файл perfc000.dat и параметр (не помню как называется) в реестре для его автозагрузки. Сейчас добавилась и еще одна проблема: загрузка ЦП процессом рнр.ехе, которых появляется 5-10 экземпляров.

    PS: старалась четко следовать правилам. Пожалуйста, если не трудно, опишите нужные мне действия поподробней - я в этом вопросе чайник .
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\NVCPL.DLL','');
     QuarantineFile('C:\WINDOWS\system32\repl.dll','');
     QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
     QuarantineFile('c:\windows\winlogon.exe','');
     QuarantineFile('c:\windows\smss.exe','');
     QuarantineFile('c:\windows\dsrss.exe','');
     DeleteFile('c:\windows\smss.exe');
     DeleteFile('c:\windows\winlogon.exe');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
     DeleteFile('C:\WINDOWS\dsrss.exe');
    ExecuteSysClean;
    ExecuteRepair(13);
    RebootWindows(false);
    end.
    После выполнения, система перегрузится.
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.

  4. #3
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Карантин отправила. Хочу заметить, что после выполнения скрипта компьютер не перезагрузился. Пришлось нажать ресет. Это нормально?
    Еще вспомнила такие проблемы: не загружался безопасный режим и неработала автоматическая авторизация на форумах. Это тоже связано с вирусами?
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Natrix Посмотреть сообщение
    Хочу заметить, что после выполнения скрипта компьютер не перезагрузился.
    Это хорошо . Не хорошо, однако, не выполнять правила в точности: При выполнении логов нужно выключать все приложения, кроме АВЗ.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('\??\repl.dll');
     BC_DeleteFile('\??\repl.dll'); 
     DeleteFile('\??\swmclip.dll');
     BC_DeleteFile('\??\swmclip.dll'); 
     DeleteFile('\??\dsrss.exe');
     BC_DeleteFile('\??\dsrss.exe'); 
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки повторите логи по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Извиняюсь за нарушение. Если опять что не так, ткните, пожалуйста, конкретно А то так и не пойму в чем дело.
    Мне добавилась новая проблема. Мой провайдер сказал, что с моего адреса идут дос-атаки на сервер. Help!!!
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  7. #6
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Возникли сомнения. При выполнении ваших скриптов восстановление системы должно быть все еще выключено? Если да, то когда его нужно включать и надо ли мне запустить скрипт еще раз?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Восстановление системы должно быть выключено.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)
    O2 - BHO: Hook Class - {DBA0F35F-BCD6-4602-863A-96893E4DE018} - C:\WINDOWS\system32\repl.dll (file missing)
    O21 - SSODL: VStorage - {ED20A579-49F4-41A4-A30C-7336A9383EDC} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
    QuarantineFile('C:\WINDOWS\system32\ati2sgag.exe','');
    QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
    QuarantineFile('C:\WINDOWS\winlogon.exe','');
    QuarantineFile('C:\WINDOWS\system32\muid.exe','');
    QuarantineFile('C:\WINDOWS\system32\exportl.exe','');
    QuarantineFile('C:\WINDOWS\system32\12520850h.exe','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Карантин отправила

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Не очень удачно. Выполните еще этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
    QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
    I am not young enough to know everything...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Плюс вот такой скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\repl.dll','');
     BC_DeleteFile('C:\WINDOWS\system32\repl.dll');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(false);
    end.
    После выполнения, система перегрузится.
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.

  12. #11
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
    Карантин отправлен.

  13. #12
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Цитата Сообщение от Muffler Посмотреть сообщение
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.
    Готово.
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\LogWatNT.exe

    Поищите вручную эти два файла.
    Но если Вы скажете, что их нет, а проблема остается - тогда я пас
    I am not young enough to know everything...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\LogWatNT.exe

    Поищите вручную эти два файла.
    Но если Вы скажете, что их нет, а проблема остается - тогда я пас
    Скорее всего они в базе безопасных...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Natrix, узнайте у провайдера, есть ли ещё дос атаки с вашего IP.
    Если нет, значит больше зверей в системе нет.
    Также, измените все пароли(email, icq и т д).

    Вот список того что было найдено и убито у вас в системе:
    Backdoor.Win32.Small.os
    Trojan-Spy.Win32.Webmoner.ce,
    Trojan-Proxy.Win32.Procin.j,
    Trojan-Spy.Win32.Sters.an,
    Trojan-Spy.Win32.KeyLogger.lp
    +
    последний был скорее всего Trojan.Win32.Agent.agx

  17. #16
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Да, эти файлы есть.

  18. #17
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Какой огромный список! Огромное спасибо!
    Атак сейчас вроде нет.
    А то, что эти файлы остались не страшно? И perfc000.dat по-прежнему присутствует.
    Восстановление системы можно включать?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility for WindowsNT and Windows9X
    C:\WINDOWS\LogWatNT.exe - belongs to the software Computer Associates LogWatNT

    perfc000.dat - удалите вручную...

    Проверте загрузку системы в SafeMode. Если не загружается, тогда выполните вот такой скрипт:

    Код:
    begin
     ExecuteRepair(10);
    end.
    После этого можна включить восстановление системы.

  20. #19
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    35
    Файл удалила. Два первых тоже надо удалить?
    Скрипт выполнила, но не помогло

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Два первых тоже надо удалить?
    Не надо!

  • Уважаемый(ая) Natrix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. backdoor.win32.small.cyb
      От Antonn в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:05
    2. Backdoor.Win32.Small.czo
      От Алексей Романов в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2008, 11:23
    3. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 16:50
    4. Backdoor.win32.small.os с чем его едят ?
      От Celamoi в разделе Вредоносные программы
      Ответов: 18
      Последнее сообщение: 16.05.2007, 19:59
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00950 seconds with 21 queries