Подхватил троян. Он заразил системный файл C:\WINDOWS\system32\comca.dll. Переодически идет рассылка и прием пакетов. У меня стоит антивирус AVG. Файл не лечится и не удаляется. Помогите!
Printable View
Подхватил троян. Он заразил системный файл C:\WINDOWS\system32\comca.dll. Переодически идет рассылка и прием пакетов. У меня стоит антивирус AVG. Файл не лечится и не удаляется. Помогите!
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lsc41', 'Start');
RebootWindows(true);
end.
[/code]
прфиксите ...
[code]
O2 - BHO: (no name) - {CF1FDDB1-63F6-400C-8BD9-4DF48C140A34} - C:\WINDOWS\system32\comca.dll
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\mHotkey.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\noskrnl.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\wtcalfbf.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lsc41.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Lsc41.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\wtcalfbf.dat');
DeleteFile('C:\WINDOWS\system32\noskrnl.sys');
DeleteFile('C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\comca.dll');
DeleteService('rwkgyuhd');
DeleteService('noskrnl.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
Выполнил скрипт
[QUOTE]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lsc41', 'Start');
RebootWindows(true);
end.
[/QUOTE]
затем профиксил все кроме ключа
[QUOTE]
O2 - BHO: (no name) - {CF1FDDB1-63F6-400C-8BD9-4DF48C140A34} - C:\WINDOWS\system32\comca.dll
[/QUOTE]
пишет закройте все окна все окна закрыл всеравно не хочет. Че делать?
И еще строка во 2-м скрипте
[QUOTE]DeleteFile('C:\WINDOWS\system32\comca.dll');[/QUOTE]
получается что скрипт идет на удаление файла comca.dll?
Выполняйте скрипт, затем снова попробуйте пофиксить ту строчку.
Далее ждем карантин и новые логи.
БОЛЬШОЕ СПАСИБО!!!! вирус удалился:biggrinsanta:! я сначала выполнил 2 скрипта потом профиксил. отсылаю логи и карантин
[[color=#CC0000]moderated! Карантин нужно присылать согласно приложения 3 правил[/color]]
1. Пришлите карантин по правилам - загружать тут:
[url]http://virusinfo.info/upload_virus.php?tid=15378[/url]
2. Отключите восстановление системы!
3. Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('NdisWon');
BC_QrSvc('r_server');
BC_QrSvc('SSDPSRVSharedAccess');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('r_server');
BC_DeleteSvc('SSDPSRVSharedAccess');
BC_Activate;
RebootWindows(true);
end.[/code]
4. После перезагрузки пришлите новый карантин, если будет не пустой .
5. Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\lsc41.sys - [B]Rootkit.Win32.Agent.qz[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\drivers\\wtcalfbf.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[/LIST][/LIST]