Касперский при загрузке системы находит файл nso12k.sys, который заражен троянской программой Trojan.Win32.Agent.amr. Пытался в реестре удалить , но ничего не получается. Хотелось получить помощь.
Printable View
Касперский при загрузке системы находит файл nso12k.sys, который заражен троянской программой Trojan.Win32.Agent.amr. Пытался в реестре удалить , но ничего не получается. Хотелось получить помощь.
Для начала соберем анализы ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.1\system32\odbcjet.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll','');
QuarantineFile('c:\WINDOWS.1\system32\vsjitdebugger.exe','');
QuarantineFile('C:\WINDOWS.1\system32\nso12k.sys','');
QuarantineFile('C:\WINDOWS.1\system32\cssrss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Вот это можно сразу пофиксить:
[code]
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll (file missing)
[/code]
Remote Administrator установлен с вашего ведома?
Remote Administrator установлен мной и я с ним работаю.
Карантин нельзя прикреплять к сообщению, для этого есть ссылка вверху темы! Уберите и отправьте тут: [url]http://virusinfo.info/upload_virus.php?tid=12415[/url]
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows.1\system32\userinit.exe,c:\windows.1\system32\odbcjet.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS.1\system32\cssrss.exe');
BC_DeleteSvc('nso12k');
BC_DeleteFile('C:\WINDOWS.1\system32\nso12k.sys');
BC_DeleteFile('C:\WINDOWS.1\system32\cssrss.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
Я загрузил. Только как мне теперь я его не вижу
Файл сохранён как 070913_073808_virus_46e92f308e49c.zip
Размер файла 119765
MD5 c51464040764884bb1fa792be9f5b791
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Хорошо. Сейчас все переделаем
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
Все загружено.
А логи новые где?
Я их загружаю , а как тогда их отправить
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Все сейчас будут
Сюда логи, туда вирусы - Правило этого форума.
[QUOTE]а как тогда их отправить[/QUOTE]
Вот их, в отличие от карантина, прикрепить сюда,
так же, как в первом сообщении.
Вот логи
Зверя больше нет. Есть два замечания.
1. В системе болтается драйвер от Symantec, его желательно удалить.
Это можно сделать таким скриптом:
[code]
begin
BC_DeleteSvc('SymEvent');
BC_Activate;
RebootWindows(true);
end.[/code]
2. Скажите, используете ли что-то из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что не нужно - пофиксим.
Спасибо, все исправил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]76[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.1\\system32\\cssrss.exe - [B]Trojan-Downloader.Win32.Agent.djo[/B] (DrWEB: Trojan.NtRootKit.323)[/LIST][/LIST]