Printable View
Доброго вам времени суток. У меня тут возникла проблемка с вечно выживающим трояном и мя которое ему дола АВЗ Trojan-Proxy.Win32.Pixoliz.a на компе он уменя живет в таких файликах C:\WINDOWS\system32\simp_dll.bak и [COLOR=#810081]C:\WINDOWS\system32\simp_dll.dll[/COLOR] удолить эту гадость у меня так и не получилусь так же как и АВЗ в процесе сканирования тоже его не осилила
Вот поэтому я теперь тут прошу вашей помощи в борьбе с данной заразой......
логи прилогаю
SP1 обнавлю после лечения
вот он корень зла!
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
обновить то SP2+все критические обновления(потребуется активация)
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12177[/url]
Варианты лечения:
Скорей всего патчен системный файл [B]ntoskrnl.exe[/B]
1)его потребуется заменить на оригинальный с дистрибутива.
2) можно воспользоваться триальной версией Касперского(он умеет лечить этот вирус)
[url]http://www.kaspersky.ru/trials[/url]
3) CureIt beta [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url]
[url]http://info.drweb.com/show/3098/ru[/url]
скажите что вам нужно из этого списка?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX[/QUOTE]
@fotorama
Сообщения: 160 - и не стыдно. Каждый раз пишем: установи СП2, установи ... и в каждой новой теме одно и тоже.
[quote=Muzzle;131766]вот он корень зла!
обновить то SP2+все критические обновления(потребуется активация)
1.[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [B]приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил [/URL][/B].
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=12177[/URL]
Скорей всего патчен системный файл [B]ntoskrnl.exe[/B] и его потребуется заменить на оригинальный с дистрибутива.
Или как вариант можно воспользоваться триальной версией Касперского(он умеет лечить этот вирус)[/quote]
спасибо за скрипт щас все зделаю про СП1 я уже писал что обновлю после лечения (а при обновление винды [B]ntoskrnl.exe[/B] он не замениться на оригинальный)
[quote=PavelA;131768]@fotorama
Сообщения: 160 - и не стыдно. Каждый раз пишем: установи СП2, установи ... и в каждой новой теме одно и тоже.[/quote]
Да это не мне должно быть стыдно а тем кто несет мне эти компы я уже замохался им всем говорить что винду нужно обновлять(и как обновлять) и уже рука больт всем им на бумажках записывать адрес вашего ресурса чтоб они сами квам наведывались, но что толку всеравно тащут с мативацией "мы туда зашли там все непонятно на Вов лутьше сам посмотри" блинн
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
это потом сам профиксю
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 14 минут[/I][/B][/color][/size]
карантин загружен
Файл сохранён как070904_081945_virus_fotorama_46dd5b719f60d.zipРазмер файла2750124MD57677296399d6b2a231b9c3aa8f53b0f2
Всё верно файл [B]ntoskrnl.exe[/B], патченый
[QUOTE][B]Avast 4.7.1029.0 2007.09.04 Win32:Pixoliz-B
BitDefender 7.2 2007.09.05 Trojan.Proxy.Pixoliz.C
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
F-Secure 6.70.13030.0 2007.09.04 Trojan.Win32.Patched.ah
Kaspersky 4.0.2.24 2007.09.05 Trojan.Win32.Patched.ah
Rising 19.39.12.00 2007.09.04 Virus.Win32.Sosisko.a
Sunbelt 2.2.907.0 2007.09.05 VIPRE.Suspicious
VBA32 3.12.2.3 2007.09.04 suspected of Embedded.Trojan-Proxy.Win32.Pixoliz.a
VirusBuster 4.3.26:9 2007.09.04 Trojan.Patched.T
Webwasher-Gateway 6.0.1 2007.09.05 Win32.Malware.gen!90 [/B][/QUOTE]
Его лучше заменить или вылечить, до установки обновления SP2.
Если есть дистрибутив, то вот вариант как это сделать:
ПУск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
после этого выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Или же воспользуйтесь другими советами который я дал раньше.
После повторите логи.
выполнение скрипта приводит к синиму экрану
stop: 0x0000008e
после перезакрузки компа вирус всеравно жив....
а если так ...
выполните скрипт ....
[code]
begin
DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
скрипт выполнил вроде помогло логи прилогаю
ребят как там с вирусом мертв или нет?
на D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (D:\autorun.inf) не оброщайте внемание это для отображения значка на моей флешке
[QUOTE='fotorama;131985']как там с вирусом мертв или нет?[/QUOTE]
Мертв.
[quote=AndreyKa;131989]Мертв.[/quote]
благодарю
Теперь смело устанавливайте SP2+все критические обновления.