Не могу избавится от трояна!

Printable View

31.08.2007, 02:03
alf186

Не могу избавится от трояна!

Не могу избавится от трояна! Антивирус Эваст. Удаляю файл а он востанавливается!
31.08.2007, 02:26
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\stophid.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('c:\temp\winlogon.exe','');
DeleteFile('c:\temp\winlogon.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\StopHid.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('FCI');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12043[/url]
31.08.2007, 11:10
alf186

Огромное спасибо!!!!!!!!! Эваст пишит "Заражено 0 файлов!". Еще раз спасибо!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!:)
31.08.2007, 11:22
Muzzle

А логи повторные,а карантин прислать?Тем более не найдено ещё не означает, что вирусов нет ;)
31.08.2007, 19:05
alf186

[quote=Muzzle;130642]А логи повторные,а карантин прислать?Тем более не найдено ещё не означает, что вирусов нет ;)[/quote]
Да я карантин отослал. Что вы не получили? Если надо я еще буду отсылать.:D
Сейчас хотябы не выскакивают множество окошек с надписью "Подозрительное сообщение". А то это так надоедает.
31.08.2007, 19:16
Muzzle

логи повторите
31.08.2007, 19:36
alf186

[quote=Muzzle;130815]логи повторите[/quote]
Простите, а как это сделать?
31.08.2007, 19:40
Muzzle

снова выполнить пункты правил,начиная с 8.
31.08.2007, 20:07
alf186

Все выполнил. Перезагрузил комп. Вот логи.:)
01.09.2007, 04:27
Muzzle

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Temp\winlogon.exe');
BC_DeleteFile('C:\Temp\winlogon.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
повторите лог [B]hijackthis[/B]
01.09.2007, 13:40
alf186

Скрипт запустил. Повторил лог.
Еще последнее время у меня при запуске системы автоматически открывается окно Мои документы. Что сделать чтобы этого небыло?:)
01.09.2007, 13:46
Bratez

Пофиксите в HijackThis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Поищите с помощью AVZ файл [B]userinit.exe[/B] (Сервис - Поиск файлов...). Если найдется где-нибудь, кроме папки C:\WINDOWS\system32 - пришлите по правилам.
01.09.2007, 15:40
alf186

[quote=Bratez;130964]Пофиксите в HijackThis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Поищите с помощью AVZ файл [B]userinit.exe[/B] (Сервис - Поиск файлов...). Если найдется где-нибудь, кроме папки C:\WINDOWS\system32 - пришлите по правилам.[/quote]
Пофиксил. УРА!! Теперь окно Мои документы не открываются. Поискал с помощью AVZ указаный файл. Вот результат:
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\userinit.exe
Только вот нажимаю Копировать отмеченные файлы в карантин, а после смотрю Файл- Просмотр карантина и там их нет!!! Хотя в протоколе пишшит, что файлы скопированны. Где их икать?
Пробовал также Файл- Добавление в карантин по списку! Все равно в карантине их нету, чтобы их архивирвать и выслать.
Навсякий случай высылаю карантин
01.09.2007, 15:59
Bratez

Карантин из сообщения уберите (не положено!), тем более, что он пустой.

[B]userinit.exe [/B]значит не виноват, в карантин не идет потому, что числится в базе безопасных.
01.09.2007, 16:04
alf186

Огромное спасибо ВСЕМ!!!:D
02.09.2007, 06:46
Muzzle

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!