spyware

Printable View

12.09.2007, 23:10
nemelma

Вложений: 3

spyware

винда пишет,мол система создает неавторизованные копии и все такое.попытался удалить winavxx и его *.pf в prefetch,но после перезагрузки они все равно появляются.при обращении к панели управления,свойствам системы,к центру безопасности пишет нет прав,обратитесь к администртору сети.cureit удалил каких-то троянов,но ниче не изменилось
12.09.2007, 23:30
XL

AVZ - Файл - Выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\mav_startupmon.exe','');
QuarantineFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe','');
QuarantineFile('systems.txt','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('\SystemRoot\system32\drivers\fwdrv.sys','');
QuarantineFile('\??\C:\WINDOWS\TEMP\mc21.tmp','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('c:\windows\system32\wltrysvc.exe','');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\mav_startupmon.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Полученный карантин пришлите согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
13.09.2007, 11:21
nemelma

чисто!перезагрузилась и все работает.карантин,вроде отправил.а что за зверь вообще был?
13.09.2007, 11:27
Shu_b

[QUOTE='nemelma;134050']карантин,вроде отправил.[/QUOTE]
Загрузок от Вас не видно.
ссылка для загрузки - [url]http://virusinfo.info/upload_virus.php?tid=12406[/url]
13.09.2007, 11:33
Muzzle

И логи новые не забудьте сделать.
13.09.2007, 13:46
nemelma

карантин отправил,ща логи сделаю
13.09.2007, 14:04
nemelma

Вложений: 3

вот логи
13.09.2007, 20:42
V_Bond

C:\Program Files\Common Files\WinAntiVirus Pro 2007\mav_startupmon.exe not-a-virus:Downloader.Win32.WinFixer.x
остальные...чистые ...
C:\WINDOWS\system32\drivers\fwdrv.sys
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\drivers\Oreans.sys
c:\windows\system32\wltrysvc.exe чистые ...

удалим WinAntiVirus Pro 2007
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\WinAntiVirus Pro 2007\WinAV.exe','');
QuarantineFile('C:\Program Files\WinAntiVirus Pro 2007\WAV6COM.dll','');
QuarantineFile('C:\Downloads\WinAntiVirusPro2007FreeInstall.exe ','');
QuarantineFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\wa7pinst.exe','');
DeleteFile('C:\Downloads\WinAntiVirusPro2007FreeInstall.exe ');
DeleteFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\wa7pinst.exe');
DeleteFile('C:\Program Files\WinAntiVirus Pro 2007\WAV6COM.dll');
DeleteFile('C:\Program Files\WinAntiVirus Pro 2007\WinAV.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
поищите при помощи AVZ поиск файлов на диске C:\WINDOWS\TEMP\mc21.tmp ....
если найдется пришлите по правилам....
13.09.2007, 23:07
nemelma

вставляю этот скрипт,нажимаю выполнить - пишет: ошибка: ';' expected в позиции 9:2
13.09.2007, 23:14
V_Bond

поправил...
13.09.2007, 23:50
nemelma

нашел C:\WINDOWS\TEMP\mc21.tmp,выслал,но в карантине была еще куча других
13.09.2007, 23:54
V_Bond

в присланном архиве нужного файла нет.... там только ini
14.09.2007, 00:08
nemelma

а это нормально,что в протоколе AVZ написано:ошибка карантина файла,попытка прямого чтения (C:\WINDOWS\TEMP\mc21.tmp),карантин с использованием прямого чтения - ошибка?
14.09.2007, 00:15
V_Bond

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
14.09.2007, 18:48
nemelma

скрипт выполнил,высылаю карантин
14.09.2007, 19:40
V_Bond

карантин снова пустой...
повторите логи ...
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\winantivirus pro 2007\\mav_startupmon.exe - [B]not-a-virus:Downloader.Win32.WinFixer.x[/B] (DrWEB: Trojan.DownLoader.32655)[*] c:\\program files\\common files\\winantivirus pro 2007\\uwa7pcw.exe - [B]not-a-virus:Downloader.Win32.WinFixer.gv[/B] (DrWEB: Adware.Dmad.99)[/LIST][/LIST]