не могу избавиться от вирусов!

Printable View

Показывать 40 сообщений этой темы на одной странице

08.06.2007, 13:32
sss

Вложений: 2

не могу избавиться от вирусов!

сношу касперским, AVZ, но они вновь закачиваются из инета. Трафик растет скачками. Пробовал закрывать адреса, но не помогает. Прислать лог virusinfo_syscheck.zip не могу, так как он весит около 900 кб.((
08.06.2007, 13:35
Rene-gad

@sss
Почитайте [URL="http://virusinfo.info/showthread.php?t=1235"]тут[/URL]. Это интересно.
08.06.2007, 13:43
sss

ну дык

[quote=Rene-gad;114655]@sss
Почитайте [URL="http://virusinfo.info/showthread.php?t=1235"]тут[/URL]. Это интересно.[/quote]

Первым делом прочитал.
08.06.2007, 13:45
Rene-gad

[QUOTE=sss;114659]Первым делом прочитал.[/QUOTE]
а почему тогда только 2 лога?
08.06.2007, 13:50
sss

[quote=Rene-gad;114660]а почему тогда только 2 лога?[/quote]
так лог большой 941к, а там ограничение на 483 кб. или около того
08.06.2007, 13:58
Rene-gad

[QUOTE=sss;114661]так лог большой 941к, а там ограничение на 483 кб. или около того[/QUOTE]
Лог [B]virusinfo_syscheck.zip[/B] по величине примерно равен [B]virusinfo_syscure.zip[/B] - 10-30%, т.к. в нем уже нет тех вредных процессов, которые занесены в базу АВЗ и удаляюся встроеным скриптом 3 автоматически . Предполагаю, что Вы хотели какой-то другой лог закачать. ;)
08.06.2007, 14:01
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\a3dx8.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
09.06.2007, 13:52
sss

[quote=Bratez;114666]Выполните скрипт в AVZ:
Пришлите содержимое карантина согласно приложению 3 правил.[/quote]

Сделал и отправил. Походу они нашлись. Когда архивировал, касперский нашел парочку Troajn.Clicker
09.06.2007, 13:56
sss

файл то zipованный

загрузился или нет?:?
09.06.2007, 14:05
Bratez

[QUOTE]Когда архивировал, касперский нашел парочку Troajn.Clicker[/QUOTE]
Дык правила хто читать будет?!
Отключить его надо было, он же весь карантин съел!
Выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
и карантин пришлите по новой.
10.06.2007, 11:42
sss

еще раз

сделал этот скрипт и отправил. Жду. А почему в этот раз в скрипте не было поиска a3dx8.dll???
Походу еще ядру капец, думаю какой нибудь руткит постарался.
10.06.2007, 12:46
Bratez

Выполните следующий скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
BC_ImportDeletedList;
BC_DeleteSvc('xpdx');
BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
[/code]
и новые логи - в студию. Очень желательно все три.
Если не поместятся, старые логи можно удалить.
11.06.2007, 08:16
sss

Вложений: 3

ок

есть
11.06.2007, 08:47
Bratez

А пофиксить забыли?
[code]
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: botreg - C:\WINDOWS\
[/code]
Выполните еще такой скрипт в AVZ:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_QrFile('C:\WINDOWS\perfmon.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Если карантин будет не пустой, пришлите по правилам.
Прикрепите к теме файл boot_clr.log из папки с AVZ.
11.06.2007, 10:22
sss

Вложений: 1

отправил карантин и лог

только не профиксил строки 020, их нет.
11.06.2007, 14:04
Bratez

Ясно. Выполните скрипт:
[code]begin
BC_DeleteSvc('ICF');
BC_DeleteSvc('Performance Monitor');
BC_Activate;
RebootWindows(true);
end.[/code]
и после перезагрузки сделайте новый лог HijackThis.
12.06.2007, 05:09
sss

Вложений: 1

ок

сотворил.
12.06.2007, 06:11
Bratez

Ну все, теперь полный порядок ;)
Надеюсь, левого трафика больше нет?
12.06.2007, 09:16
sss

пока не знаю

посмотрим еще. А как быть с перехватчиками klif.sys и sptd.sys???? Они обнаруживаются при сканировании.
12.06.2007, 09:20
Kuzz

klif.sys - это драйвер от Касперского,
а sptd.sys - Alcohol или DaemonTools.
Эти перехватчики не опасны.

Показывать 40 сообщений этой темы на одной странице