Программа Spyhanter(усеченная) нашел Trojan.Downloader-Small-CYN в файле c:\winnt\system32\avtape.dll Помогите удалить пожалуйста!!
Printable View
Программа Spyhanter(усеченная) нашел Trojan.Downloader-Small-CYN в файле c:\winnt\system32\avtape.dll Помогите удалить пожалуйста!!
По вашим логам вопрос: вы логи делали через терминальное подключение? Если да, новые логи, по возможности, сделайте напрямую с проблемной машины. Пока, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\System32\rnr20.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\System32\winrnr.dll','');
QuarantineFile('E:\Setup.exe','');
QuarantineFile('C:\WINNT\system32\icabar.exe','');
QuarantineFile('C:\WINNT\system32\avtape.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\p2sys.dll','');
QuarantineFile('C:\WINNT\system32\itechmonXP.dll','');
QuarantineFile('C:\WINNT\System','');
QuarantineFile('C:\WINNT\p2sys.dll','');
QuarantineFile('C:\WINNT\system32\smss.exe','');
QuarantineFile('C:\WINNT\System32\rnr20.dll','');
QuarantineFile('C:\WINNT\System32\winrnr.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\system32\smss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10215[/url] ,как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]. Если не знаете, что за 1cc.bat стоит в автозапуске, скопируйте его тоже в карантин вручную, как написано в прил. 2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].
Мне вот интересно, а сейчас интернет работает ? по моему не должен ;)
Файлы я делал прямо на машине (а не из терминала), скрипт выполнил и выслал. Спасибо за участие жду ответа...
Странно... В присланных файлах сразу же однозначный детект на
C:\WINNT\system32\avtape.dll - Backdoor.AFCore.F (BitDefender)
C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\p2sys.dll - Trojan.Win32.Starter.k (Касперский). Я был уверен, что путь к файлу p2sys.dll неправильный, однако AVZ его поймал... В админском профиле на данной машине и правда имеется папка Windows? В любом случае, выполните следующее: в программе Hijackthis пофиксите строчки:[code]O20 - AppInit_DLLs: C:\WINNT\system32\avtape.dll
O21 - SSODL: MStask - {9F2BA846-3001-46E4-9CD7-8E9AC5A75539} - p2sys.dll (file missing)[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\avtape.dll');
DeleteFile('C:\Documents and Settings\Администратор.DOORSFACTORY\WINDOWS\p2sys.dll');
DeleteFile('C:\WINNT\p2sys.dll');
BC_ImportDeletedList;
BC_Activate;
Executesysclean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п. 10 правил. И вопрос drongo остался пока без ответа: интернет на машине работает беспроблемно?
Перед тем как делать новые логи, выполните мааленький скриптик:
[code]begin
AutoFixSPI;
RebootWindows(false);
end.[/code]
(будет презагрузка).
Интернет на машине работает через Kerio WinRoute каторый согласно правилам на момент создавания логов был отключен. Скрипты выполнил, спасибо помагло, файлы вышлю позже.
Выслал файлы. Но после маленького скриптика Brateza не работает Kerio и 1С, подскожите пожалуйста как исправить?
[QUOTE]после маленького скриптика Brateza не работает Kerio и 1С, подскожите пожалуйста как исправить?[/QUOTE]Переустановить вышеперечисленные программы. Сделайте ещё раз логи.
[quote=Serg_F;114513]Выслал файлы. Но после маленького скриптика Brateza не работает Kerio и 1С, подскожите пожалуйста как исправить?[/quote]
Пока подождите что-либо переустанавливать. Поясните сначала, что значит "не работает"? Локально не запускается 1С и не стартует служба Kerio? Или нет терминального доступа к этой машине?
1C выдает сообщение "Не обнаружен ключ защиты программы", переустановка 1С не помогает. В Kerio выдает сообщение что возникла внутр. ошибка и он себя останавливает.
Ключ 1С где живёт? Похоже, что на другой машине, и опрашивается по сети.
Если проблема еще не решена, тогда,наверное, так: не переустанавливая ничего, запустите консоль, введите команду [quote]netsh Winsock reset[/quote] По выполнении - перезагрузите компьютер.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]74[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор.doorsfactory\\windows\\p2sys.dll - [B]Trojan.Win32.Starter.k[/B] (DrWEB: Trojan.PWS.LDPinch.511)[*] c:\\program files\\myway\\mybar\\1.bin\\mypopswt.dll - [B]not-a-virus:AdWare.Win32.MyWay.x[/B][*] c:\\program files\\myway\\mybar\\1.bin\\my2ns.exe - [B]not-a-virus:AdWare.Win32.MyWay.b[/B] (DrWEB: Adware.MyWay)[*] c:\\winnt\\system32\\avtape.dll - [B]Backdoor.Win32.Afcore.cs[/B] (DrWEB: BackDoor.Afcore.58)[/LIST][/LIST]