NOD32 пытается убить simp_dll.dll, а она каждые три секунды восстанавливается. Ситуация похожа на описанную ранее в разделе "Помогите". simp_dll.dll идентифицируется как SpamTool.Win32.Agent.u.
Логи прилагаю.
Printable View
NOD32 пытается убить simp_dll.dll, а она каждые три секунды восстанавливается. Ситуация похожа на описанную ранее в разделе "Помогите". simp_dll.dll идентифицируется как SpamTool.Win32.Agent.u.
Логи прилагаю.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Харитонова\букшелф\TRBookshelf_.dll.button.js','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Скрипт выполнил, карантин закачал.
Склероз. Логи приложил.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите логи. Я думал, AVZ сам справится. Придётся помочь. :)
@Max Нужно искать причину. Эта dll, скорее всего следствие.
Есть еще вредные файлы,которых мы не видим.
Похоже эта дрянь самовосстанавливается по-прежнему.
Есть расшареные папки или диски?
Расшаренные папки есть.
Эта длл следы. Давай ее в карантин, а уже по ней попытаемся определить, что нам искать еще.
Сорри, если написал непонятно.
Уточню:
У Вас в посл. карантине она есть. Присылайте его, загоним на вирустотал, вскроем потроха, откуда она израстает.
[QUOTE='Bison;123043']Расшаренные папки есть.[/QUOTE]Можно их отключить на время лечения?
[QUOTE='PavelA;123044']Эта длл следы.[/QUOTE]Есть ещё [U]TRBookshelf_.dll.button.js[/U]. Просьба, знающим JS, посмотреть этот файл.
Она не в карантине, а в Infected лежит. Зархивировал, сейчас отправлю. Остальные телодвижения завтра. Домой пора.
[B]Bison[/B],
AVZ -> Файл -> Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lsnat.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения, система перезагрузится.
После перезагрузки, пришлите нам карантин [U]по правилам[/U].
Скрипт выполнил, карантин отправил. Почему-то каждого файла по две штуки в карантине. Заархивировал все. Архив больше 4 метров получился.
ntoskrnl.exe - я глянул одним глазом, помоему он пропатчен, посколько у меня сейчас нет возможности детально посмотреть файлы - давайте подождём ответа аналитиков.
Насчет ntoskrnl.exe грешен. Когда начал искать решение проблемы в интернете, наткнулся на совет заменить его на чистый. Чистый взял из темы об аналогичной проблеме. Потом почитал правила и решил им следовать.
[B]ntoskrnl.exe [/B]- Virus.Win32.Sosisko.a. (по касперскому)
У вас есть дистрибутив с windows? или вы уже заменили ntoskrnl.exe?
Антивирус Касперского умеет лечить этот вирус, так что если есть возможность скачайте пробную версию KAV, обновите базы и просканируйте все диски.
Касперский с ним справился, но пришлось повозиться. Может это совпадение, но он не мог обновиться через интернет, пока не убил Virus.Win32.Sosisco.a. Пришлось обновлять базы из сетевой папки. До обнаружения вируса в ntoskrnl.exe Каспер не считал simp_dll.dll вирусом и не удалял его. После удаления ntoskrnl.exe, Каспер стал удалять simp_dll.dll в вечном цикле, так как он по-прежнему восстанавливался. Пришлось прервать сканирование, подсунуть чистый ntoskrnl.exe, перезагрузиться и начать сканирование заново. После этого все прошло нормально.
Всем спасибо за помощь.:good:
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!