-
Вложений: 3
WinAvXX
Пояился WinAvXX, пытался победить его с помощью nod32, не помогает. Постоянно выбрасывает предложение что-то там скачать от имени Windows Security. Пропал доступ к панели управления, свойствам системы, календарю. В IE стартовой страницей по умолчанию сделался google.
Сделал все, как сказано в правилах.
HiJackThis при работе выдает сообщение об ошибке, но продолжает работать:
[html]
An unexpected error has occured at procedure: modMain_CheckOther1Item()
Error #75 - Path/File access error
[/html]
Подскажите, что делать дальше?
Заранее спасибо.
-
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\WINDOWS\system32\agysteo.exe','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('c:\windows\system32\printer.exe','');
DeleteFile('c:\windows\system32\printer.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\agysteo.exe');
DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_ImportAll;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
повторите логи...
-
Вложений: 3
Выполнил скрипт.
Пропали предлжения о загрузке и ошибка HiJackThis, появилась панель управления, свойства системы и календарь. По-прежнему nod32 опознает как зараженный файл hosts, при этом доступа к нему нет, блокнотом не открывается.
Прикладываю свежие логи.
Карантин прислал:
Файл сохранён как 070929_144657_virus_46feabb1ca87e.zip
Размер файла 1490740
MD5 77f5344823eab3915b89034137d730e1
-
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QNQNKXWJ\TTC-4444[1].exe [B]not-a-virus:AdWare.Win32.TTC.a[/B]
C:\WINDOWS\system32\jap1\MMEMDT83122.exe n[B]ot-a-virus:AdWare.Win32.TTC.a[/B]
C:\WINDOWS\TTC-4444(2).exe [B]not-a-virus:AdWare.Win32.TTC.a[/B]
C:\WINDOWS\TTC-4444.exe [B]not-a-virus:AdWare.Win32.TTC.a [/B]
C:\WINDOWS\system32\sulimo.dat -[B]Heuristic.Crypted[/B]
D:\Distr\Antivir\AIDS\clrav.com - это у вас утилита от касперского ?
пофиксите ....
[code]
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QNQNKXWJ\TTC-4444[1].exe');
DeleteFile('C:\WINDOWS\system32\jap1\MMEMDT83122.exe');
DeleteFile('C:\WINDOWS\TTC-4444(2).exe');
DeleteFile('C:\WINDOWS\TTC-4444.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ClearHostsFile;
RebootWindows(true);
end.
[/code]
на какой конкретно файл ругается нод ? можете его прислать ,по правилам ?
повторите логи....
-
Да, D:\Distr\Antivir\AIDS\clrav.com - утилита от касперского
Строка [HTML]O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat[/HTML] не фиксится, при повторном сканировании остается.
Nod ругался на файл C:\Windows\system32\Drivers\Etc\hosts
Я пытался его переименовать, в результате он исчез, я заменил его пустым файлом, потом вписал строку 127.0.0.1 localhost. Там была еще пара строк, которые я вписывал для упражнений с php, но их восстановить позже проблемы не составит.
Логи обновляю.
-
Вложений: 3
После перезагрузки строка
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
из отчета исчезла.
Прикладываю обновленные логи.
-
ничего зловредного не вижу ...
- отключите восстановление системы ... (что бы зловреды не восстановились)
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
Большое спасибо.
Восстановление отключил.
Компьютер - домашний, один пользователь.
Насчет служб - лично я ничего не использую, возможно, что-то требуется для работы установленных программ. Если не затруднит, подскажите, где почитать подробнее, какие службы за что отвечают, чтобы знать, что мне реально нужно, а что - нет.
-
[URL="http://www.oszone.net/2357/Services"]Службы Windows XP[/URL]
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Hoax.Win32.Fera.uf[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\qnqnkxwj\\ttc-4444[1].exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\documents and settings\\александр\\главное меню\\программы\\автозагрузка\\system.exe - [B]Hoax.Win32.Fera.uf[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp475\\a0988377.exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp475\\a0988877.exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp477\\a0997669.exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\windows\\system32\\jap1\\mmemdt83122.exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\windows\\system32\\printer.exe - [B]Hoax.Win32.Fera.uf[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\sulimo.dat - [B]Trojan.Win32.Qhost.ph[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\winavxx.exe - [B]Hoax.Win32.Fera.uf[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\ttc-4444.exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[*] c:\\windows\\ttc-4444(2).exe - [B]not-a-virus:AdWare.Win32.TTC.a[/B] (DrWEB: archive: Adware.Ttc)[/LIST][/LIST]
Page generated in 0.00158 seconds with 10 queries