При загрузке Windows 2000 AntiVir находит две гадости:
netdtect.sys - RKIT/Agent.DQ.31.A
runtime.sys - RKIT/Agent.dw.2
Пробовал удалять в безопаcном режиме, ничего не получается.
Printable View
При загрузке Windows 2000 AntiVir находит две гадости:
netdtect.sys - RKIT/Agent.DQ.31.A
runtime.sys - RKIT/Agent.dw.2
Пробовал удалять в безопаcном режиме, ничего не получается.
1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\Temp\startdrv.exe');
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
2. Выполните еще один скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Drivers\U3sHlpDr.sys','');
QuarantineFile('C:\Program Files\Outlook Express\outl32l4.exe','');
QuarantineFile('C:\WINNT\isrvs\ffisearch.exe','');
BC_ImportQuarantineList;
BC_QrSvc('U3sHlpDr');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Большое спасибо.
Карантин отправил.
Удачи, виктор.
C:\Program Files\Outlook Express\outl32l4.exe -
[QUOTE][SIZE="1"] Scan taken on 06 Jun 2007 05:45:55 (GMT)
A-Squared Found Adware.ToolBar.ISearch.d
AntiVir Found ADSPY/ToolBar.ISearch.D
ArcaVir Found Trojan.Downloader.Sukaf
Avast Found Win32:Indown
AVG Antivirus Found Downloader.Generic.AJL
BitDefender Found Adware.Searchbar.M
ClamAV Found Trojan.Downloader.Small-314
Dr.Web Found Trojan.DownLoader.1296
F-Prot Antivirus Found W32/Downloader.CSS
F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.ISearch.d (4, 1, 400)
Fortinet Found W32/Isearch!tr
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.ISearch.d
NOD32 Found Win32/Adware.ISearch application
Norman Virus Control Found W32/SearchToolbar.C
Panda Antivirus Found nothing
Rising Antivirus Found Trojan.DL.Agent.bc
VirusBuster Found nothing
VBA32 Found AdWare.ToolBar.ISearch.d [/SIZE][/QUOTE]
Я извиняюсь за глупый впрос, а что Вы этим хотели сказать? Что практически любой антивирус что-то находит в этом файле?
[quote=vitulnik;114258]Я извиняюсь за глупый впрос, а что Вы этим хотели сказать? Что практически любой антивирус что-то находит в этом файле?[/quote]
Да ;)Его можно удалить уже сейчас, насчёт остальных подождём вердикта вируслаба.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Outlook Express\outl32l4.exe');
BC_DeleteFile('C:\Program Files\Outlook Express\outl32l4.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
U3sHlpDr.sys - чистый (по Вирустотал), ffisearch.exe в карантине нет.
Проблема себя еще проявляет?
Сделайте новые логи, может что-то еще выяснится.
ffisearch.exe поискать вручную по пункту 2 правил и прислать по правилам , подозреваю семейство v2.
Проблема вроде больше не появляется.
ffisearch.exe не нашел, а где его искать?
Еще раз спасибо.
ЗЫ На соседнем компьютере призагрузке выдается синий экран со ссылкой на ndis.sys
Загрузиться удается только в безопасном режиме без поддержки сети. Замена ndis на новый помогла ненадолго. Понятно что это вирус. Может есть стандартные средства или надо действовать по правилам? Просто на том компьютере даже флопа нет :(( непонятно как вам логи прислать.
[QUOTE]ffisearch.exe не нашел, а где его искать?[/QUOTE]
А где вы его не нашли? :)
AVZ - Сервис - Поиск файлов на диске.
Пофиксите строчку:
[code]
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
[/code]
и сделайте для контроля логи п.10-13 правил.
[QUOTE]на том компьютере даже флопа нет[/QUOTE]
USB есть? - флэшка.
Утилита для восстановления ndis.sys: [attach]10580[/attach]
В безопасном режиме запускаем утилиту, после этого ищем и удаляем в корне диска С файлы вида cp1041.nls (циферки могут быть другие).
[quote=Bratez;114319]А где вы его не нашли? :)
AVZ - Сервис - Поиск файлов на диске.
Нигде не нашел. Ни так: AVZ - Сервис - Поиск файлов на диске. Ни обычным поиском.:)
Пофиксите строчку:
[code]
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
[/code]
и сделайте для контроля логи п.10-13 правил.
Строчку пофиксил, хотя полагаю что это не было нужно. AVZ запускал, там все было чисто.
USB есть? - флэшка.
Утилита для восстановления ndis.sys: [attach]10580[/attach]
В безопасном режиме запускаем утилиту, после этого ищем и удаляем в корне диска С файлы вида cp1041.nls (циферки могут быть другие).[/quote]
Открою для этого случая отдельную ветку по правилам.
[quote=Bratez;114319]
В безопасном режиме запускаем утилиту, после этого ищем и удаляем в корне диска С файлы вида cp1041.nls (циферки могут быть другие).[/quote]
Утилиту запустил, в корне С не было файлов вида cp1041.nls, все осталось по прежнему.
ЗЫ Новую тему по правилам создал.