trojan.nsanti.packet

Printable View

20.12.2007, 11:26
Bars

Вложений: 3

trojan.nsanti.packet

Доброго времени суток!
Беда началась вчера. SpiDerGuard клялся и божился каждую минуту, что в папке C:\Documents and Settings\\Local Settings\Temp\ *.dll заражен trojan.nsanti.packet - но успешно вылечен. Потом в настройках я изменил лечить на удалить. Это не помогло.
Обнаружил что настройки показывать скрытые файлы сбрасываются. Отключил восстановление системы. Перезагрузка в безопасном режиме ни к чему не привела. Папку System Volume Information не только не удаляет, но и не входит. Пишет "нет доступа уже используется". В корне С:\ файлы hiberfil.sys и pagefile.sys тоже нельзя открыть для просмотра, пишет, что используется.
Dr WEB удалил и поставил AVAST, но он ничего не нашел и при проверке в досе. Вернул на место "дохтура".

:pray: помогите. На компьютере установлен акад лиценз, а с его перегистрацией ужасная конитель.
20.12.2007, 12:03
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{259F616C-A300-44F5-B04A-ED001A26C85C}');
QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\b4fm.dll','');
DeleteFile('C:\WINDOWS\system32\b4fm.dll');
ExecuteRepair(6);
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15488"]этой[/URL] ссылке. Повторите логи.
20.12.2007, 13:39
Bars

скрипт выполнен, система перезагрузилась.
Дохтур молчит, но пока боязно-открывать папки, например System Volume Information, вдруг что открою не того.

ps когда выполнял скрипт доктора отключил. Щас идет проверка
20.12.2007, 16:18
Bars

Вложений: 3

новые логи

скрытые так и не показывает :(
20.12.2007, 16:28
V_Bond

отключите антивирус(похоже что не отключили) .... повторите скрипт ... сделайте новые логи ...

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

попробуйте выполнить еще такой скрипт ...
[code]
begin
DelCLSID('1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA');
DeleteFile('C:\WINDOWS\system32\b4fm.dll');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
20.12.2007, 17:31
Bars

Вложений: 3

все программы в трее выключил. дохтура выгрузил. первый скрипт - перезагрузка
выгрузить не забыл . второй скрипт - перезагрузка
выгрузить не забыл 1 шаг AVZ
перезагрузка . выгрузить не забыл 2 шаг
3 шаг
вроде все сделал правильно.

вот свежий лог.
20.12.2007, 17:37
V_Bond

не видно ничего зловредного ... какие проблемы остались ?
20.12.2007, 17:53
Bars

:santa:
Хвала Хелперам !!!
да прибудет с вами сила ctrl и мощь alt
да выпью я за вас delit!!!!

спасибо огромное.

PS рядом стоит такой же комп. как отдышусь буду сюда логи кидать с вашего позволения.
20.12.2007, 17:58
Макcим

[QUOTE=Bars;163050]PS рядом стоит такой же комп. как отдышусь буду сюда логи кидать с вашего позволения.[/QUOTE]Только не сюда, а в новую тему.
20.12.2007, 18:01
drongo

не забудьте нажимать на 5 [url]http://www.eaward.ru/listprojs.php?what=work&cat=1&proj=2038[/url]
Посмотрите что из этого надо , я у себя всё закрыл ;)
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] это позволяют делать в отличии от IE 7 ,6....maxthon ... )
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
21.12.2007, 11:45
Bars

Остался один вопрос.
Что происходит с другими локальными дисками? А если вирус там сидит? Или диск D тоже проверяется?
21.12.2007, 15:27
pig

Диак D - это полной проверкой CureIt.
22.02.2009, 03:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]