Printable View
Антивирус (Nod32) постоянно ругается на файлы вида
C:\WINDOWS\Temp\1094149631.exe, пишет что там Trojan.Win32.Inject.fm
После удаления файла через какое-то время опять появляется файл с похожим именем и все по новой.
Сканирование в безопасном режиме не помогает: антивирус находит какие-то файлы, я их удаляю, а после перезагрузки все по новой.
Пожалуйста, помогите выкорчевывать эту заразу.
Зарнее спасибо!
Загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13440[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], - там уже есть подозрительные файлы.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
bc_deletesvc('FCI');
bc_importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена - это нормально.
Карантин загрузил.
Файл сохранён как 071023_043552_virus_471dc07803c4b.zip
Размер файла 2576645
MD5 e31b5e5af753beecaa35a1d429922c31
Добраться до зараженного компьютера и выполнить скрипт к сожалению смогу только завтра вечером:(
В карантине: C:\WINDOWS\system32\ntoskrnl.exe и C:\WINDOWS\system32\ntkrnlpa.exe - оба инфицированы Trojan.Spambot.2450 (по DrWeb), Trojan.Win32.Patched.au (по Касперскому). Оба антивируса умеют лечить зараженные файлы. Поэтому вдогонку: перед выполнением скрипта, скачайте Cureit! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] и проверьте систему, [url=http://virusinfo.info/showthread.php?t=9279] загрузившись в безопасном режиме [/url]. [b]Внимание![/b] Программа сначала предлагает выполнить экспресс-проверку, по окончании которой вы должны САМИ отметить пункт "Полная проверка" и нажать кнопку "Старт". Для C:\WINDOWS\system32\ntoskrnl.exe и C:\WINDOWS\system32\ntkrnlpa.exe выберите действие "Лечить". Если лечение данных файлов по каким-то причинам будет невозможно, [b]ни в коем случае не следует удалять данные файлы[/b].
После выполнения всех действий (полная проверка Cureit!-ом, выполнение скрипта AVZ), повторите логи, начиная с п. 10 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]
Все сделал, как написано: проверил Cureit!-ом и выполнил скрипт.
Просканировал комп - все чисто.
Посмотрим, как поведет себя система: раньше пользователь жаловалась, что периодически пропадает сеть + постоянные сообщения антивируса, но надеюсь что все будет нормально.
На всякий случай выкладываю логи после лечения.
Спасибо огромное за помощь!!!
Замечательный форум, на котором оказывают реальную помощь. Очень благодарен.
Вот с этим еще надо разобраться. Что не нужно - отключить.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntkrnlpa.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[/LIST][/LIST]