Nod'ом убрала. Перегрузила.
Потом вот AVZ скачала, обновила.. И такое чувство, что там ещё столько всякого добра, что чёрт голову сломит..
Помогите, пожалуйста, всё словить
Printable View
Nod'ом убрала. Перегрузила.
Потом вот AVZ скачала, обновила.. И такое чувство, что там ещё столько всякого добра, что чёрт голову сломит..
Помогите, пожалуйста, всё словить
Отключите восстановление системы!!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\st. Histeria\Local Settings\Temp\{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe','');
QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\qz.dll','');
QuarantineFile('C:\WINDOWS\system32\qz.sys','');
QuarantineFile('C:\WINDOWS\kernel.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\njefsfbe.dat','');
DeleteFile('C:\WINDOWS\kernel.exe');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\system32\drivers\njefsfbe.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Ой, оказывается восстановление было отключено, а я его включила.
Всё сделала.
Вот новые логи
В карантин попали:
dsaut.dll - [b]Trojan.Win32.BHO.yr[/b]
kernel.exe - [b]Backdoor.Win32.Haxdoor.mr[/b]
Отключите антивирус и выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Common Files\PCCamera\XPSetup.exe','');
QuarantineFile('C:\Documents and Settings\st. Histeria\Local Settings\Temp\{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe','');
DeleteFile('C:\WINDOWS\system32\dsaut.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите по правилам то что попадет в карантин.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {3CE041DD-EB6D-4986-A34D-B91031064576} - C:\WINDOWS\system32\dsaut.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
Вот только понять не могу. Откуда что берётся?
Если Нод не видит и Ad-aware молчит.
Ээх, прийдётся всё-таки с браузером распрощаться.
Хотя в этом SlimBrowser'е выполнение скриптов отключено.
UPD эм.. в hijackthis залезла уже после того, как все логи прислала.делать новые?
логи:
пофиксите..
[code]
O2 - BHO: (no name) - {3CE041DD-EB6D-4986-A34D-B91031064576} - C:\WINDOWS\system32\dsaut.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
віполните скрипт....
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\dsaut.dll');
DelWinlogonNotifyByFileName('ovrscn.dll');
DelCLSID('3CE041DD-EB6D-4986-A34D-B91031064576');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог HijackThis
Всё сделала.
А ещё нодом нашла:
C:\Documents and Settings\st. Histeria\Local Settings\Temp\{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe - Win32/Haxdoor троян
C:\WINDOWS\system32\ovrscn.sys - Win32/Haxdoor троян
C:\msntailq.exe - модифицированный Win32/TrojanDownloader.Small.NYM троян
C:\WINDOWS\system32\dsaut.1 - вероятно модифицированный Win32/Adware.BHO.NBI приложение
C:\WINDOWS\system32\drivers\wgfylmkg.dat - Win32/Agent.NMY троян
для очистки моей совести сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Вот новые логи.
Не могу понять, кто такой PAStiSvc.exe, который грузится только в обычном режиме. В автозагрузке его нету.
PAStiSvc.exe -что-то от веб камеры .... имеется такая ? ....
не вижу ничего зловредного в логах .....
Имеется.
Спасибо за помощь )
Заодно перебралась на Опреу.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\kernel.exe - [B]Backdoor.Win32.Haxdoor.mr[/B] (DrWEB: Trojan.Packed.194)[*] c:\\windows\\system32\\dsaut.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.Iespy)[/LIST][/LIST]