Printable View
Уважаемые эксперты, помогите "вылечиться".
Ситуация: WindowsXP Prof SP2 (в защищенном режиме не стартует, нет ни одной точки сохранения), Касперский 5 (kav.exe пропал, даже если создать файл с именем kav.exe и попытаться запустить, то он удаляется). Internet Explorer 6 (сразу виснет).
Вторая операционка Windows 2003, уже давно не запускал.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
QuarantineFile('c:\documents and settings\nvm\application data\m\flec006.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll','');
QuarantineFile('C:\WINDOWS\copyfstq.exe','');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Выполнил. Посылаю "карантин". (Переписку веду с другого компьютера.)
[B][COLOR="Red"]Выкладывать карантин запрещено. Читайте правила.[/COLOR][/B]
Выложил его за вас.
Файл сохранён как 070910_133146_virus_46e58d921f31b.zip
Размер файла 32353
MD5 ce30183edc14eb7eab9353b4ff10e996
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 9 минут[/I][/B][/color][/size]
А что было не так? Я создал zip-файл в AVZ, как указано в правилах. И вложил в "Управление вложениями".
[QUOTE='Vladneg;133218']И вложил в "Управление вложениями".[/QUOTE]вот это не то ;)
Правила нужно внимательней прочитать .
[QUOTE]И вложил в "Управление вложениями".[/QUOTE] хотя сказано, что надо отправить!
Семён Семёныч!..
бабе цветы, детям мороженное ;)
Проехали, ждем ответа вирлаба. Карантин я за вас уже выложил, так что не закачивайте теперь :)
может я могу предоставить еще какую-то информацию?
из попавших в карантин ...
C:\WINDOWS\SYSTEM32\ftpsapi232.dll Trojan.Win32.Agent.bjs (свежий совсем)
C:\WINDOWS\copyfstq.exe -чистый
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
flec006.exe -попробуйте поискать через AVZ - поиск файлов на диске ... если найдется пришлите по правилам...
повторите логи...
Сделал.
В AVZ включите [B]AVZPM[/B], перезагрузитесь и сделайте логи заново,
+ [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL].
Сделано.
пофиксите...
[code]
O20 - Winlogon Notify: ftpsapi232 - ftpsapi232.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\wintems.exe','');
QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
DeleteFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('c:\windows\system32\wintems.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
[B]Vladneg[/B], готовьте диск с дистрибутивом. Может понадобиться,
не для переустановки ХР.
Все сделал. Карантин отправил.
C:\WINDOWS\system32\drivers\srosa.sys - Email-Worm.Win32.Bagle.jo(по Касперскому)
Выполнить скрипт:
[CODE]
begin
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать комплект логов +доп.лог.
Сделал.
[QUOTE=PavelA;134022][B]Vladneg[/B], готовьте диск с дистрибутивом. Может понадобиться,
не для переустановки ХР.[/QUOTE]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\documents and settings\nvm\application data\m\flec006.exe');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\NVM\Application Data\m\flec006.exe');
DeleteFile('\Device\HarddiskVolume1\WINDOWS\system32\drivers\hidr.exe');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
DeleteFile('C:\WINDOWS\svchost');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Сделал. После окончания скрипта комп повис. Голый экран с обоями и никакой реакции. Минут через 10 сам перегрузился. Я для проверки создал текстовый файл "kav.exe", попытался запустить, файл мгновенно исчез. В защищенном режиме не загружается.
?