Printable View
Здравствуйте! NOD32 высветил такого злыдня : Файл C:\WINDOWS\SYSTEM32\w32sys4.exe инфицирован троян Win32/TrojanDownloader.Small.GYC. NOD32 не может очистить этот вирус.
Постоянно стучится по разным адресам в инете и жутко загребает
мегабайты. AVZ указывает на кучу проблем.
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\SYSTEM32\autohvm.dll
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('autohvm.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntoss.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys','');
QuarantineFile('C:\DOCUME~1\Дмитрий\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\msxmatu.dll','');
QuarantineFile('C:\WINDOWS\system32\autohvm.dll','');
DeleteFile('C:\WINDOWS\system32\autohvm.dll');
DeleteFile('C:\WINDOWS\system32\msxmatu.dll');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntoss.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('autohvm.dll');
BC_DeleteSvc('protect');
BC_DeleteSvc('ntoss.sys');
BC_DeleteSvc('ntosnh.sys');
BC_DeleteSvc('FCI');
BC_DeleteSvc('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Карантин отправлен. Пока изменений не заметно. Интернет ведёт себя безобразнейшим образом: на один запрошеный адрес прикрепляются семь паразитов. Устал отстреливать. Прикрепляю логи после выполнения указаний.
C:\WINDOWS\system32\autohvm.dll [B]TR/Proxy.Agent.bal.3[/B]
C:\WINDOWS\system32\ntos.exe [B]TR/Cript.XPACK.Gen[/B]
c:\windows\system32\vhosts.exe [B]DR/Delphi.Gen[/B]
C:\WINDOWS\system32\msxmatu.dll [B]Trojan.PWS.Mailspy.origin[/B]
Повторите логи ....
Пользуюсь NODом давно, постоянно обновляюсь, проверяюсь, постоянный мониторинг. Но видать не справляется иноземец. Логи прилагаю.
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
RebootWindows(true);
end.[/code]
Больше ничего плохого не вижу.
:300:Благодарю за оказанную мне помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\autohvm.dll - [B]Trojan-Proxy.Win32.Agent.uk[/B] (DrWEB: Trojan.Proxy.2491)[*] c:\\windows\\system32\\msxmatu.dll - [B]Trojan-Proxy.Win32.Agent.ul[/B] (DrWEB: Trojan.PWS.Mailspy.27)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.nl[/B] (DrWEB: Trojan.Proxy.2486)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Downloader.Win32.Dirat.an[/B] (DrWEB: Trojan.Inject.544)[/LIST][/LIST]