Одолевает Sanitardiska

Printable View

03.01.2008, 03:34
Hush

Одолевает Sanitardiska

Доброго времени суток. Проблема вот в чём.
Завелась зараза Sanitardiska (вылазит сообщение, что мол на харде куча хлама, но чудо-программа sanitardiska со всем справится, ток загрузи:biggrin:). NOD ничего не видит, Trojan Remover что-то находит, но не может удалить даже в Safe-mode. Читал сходную ветку, но т.к. самолечением по сходным веткам вы не рекомендовали заниматься, высылаю логи.Надеюсь на вашу помощь, заранее спасибо.
03.01.2008, 03:48
Bratez

Пофиксите в HijackThis:
[code]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.serial99.com/?a
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.serial99.com/?a
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://auto.search.msn.com/response.asp?MT=%D0%BD%D1%84%D1%8E%D0%BA%D0%B3&srch=3&prov=&utf8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Serial99.com
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ickynfsq.dat','');
QuarantineFile('C:\WINDOWS\system32\loghour.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\ickynfsq.dat');
DeleteFile('C:\WINDOWS\system32\loghour.dll');
DelBHO('{7C6DEDB4-929F-4147-A798-EFE528ED5812}');
BC_ImportALL;
BC_QrSvc('Iaimtterpaa');
BC_DeleteSvc('Iaimtterpaa');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите весь карантин согласно приложению 3 правил.
Сделайте новые логи.
03.01.2008, 11:06
Hush

Вложений: 3

Новые логи

Карантин выслал, вот новые логи после чистки.
03.01.2008, 11:29
Bratez

ickynfsq.dat - [b]Rootkit.Win32.Agent.ql[/b]
loghour.dll - [b]Trojan.Win32.BHO.abo[/b]
Лечение прошло успешно.

Пришлите по правилам следующие файлы:
C:\Downloads\Программы\install_en.exe
C:\Downloads\Программы\setup_en.exe
C:\WINDOWS\system32\DRIVERS\secdrv.sys
03.01.2008, 12:05
Hush

Отправил.
03.01.2008, 12:55
Bratez

C:\Downloads\Программы\install_en.exe
C:\Downloads\Программы\setup_en.exe
это потенциально опасное ПО [b]not-a-virus: Downloader.Win32.WinFixer.au[/b]
удалите их.

Больше ничего похого не видно.

Рекомендуется отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Какие-то проблемы еще остались?
03.01.2008, 15:19
Hush

Проблем больше нет, огромное спасибо за помощь! Только 1 момент - после лечения в "Моем компьютере" появилась папка "Веб-папки". Как её можно убрать?
03.01.2008, 15:29
Макcим

[QUOTE=Hush;166811]Только 1 момент - после лечения в "Моем компьютере" появилась папка "Веб-папки". Как её можно убрать?[/QUOTE]Она сильно мешает?
03.01.2008, 20:13
Hush

Глаза мозолит :biggrinsanta:

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 50 минут[/I][/B][/color][/size]

Еще не аллес. При попытке открыть что-нибудь из администрирования (службы, политика безопасности и т.д) пишет файл *.msc не найден, или нет прав. Файлы на месте.:unsure:
03.01.2008, 20:19
V_Bond

выполните скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
03.01.2008, 21:12
Hush

[QUOTE=V_Bond;166883]выполните скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code][/QUOTE]

Не помогло :sad:
22.02.2009, 03:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\hush\\универ\\курсач\\namedpipes\\client\\npclient.exe - [B]not-a-virus:NetTool.Win32.NamedPipes.a[/B][*] c:\\hush\\универ\\курсач\\namedpipes.zip - [B]not-a-virus:NetTool.Win32.NamedPipes.a[/B][*] c:\\windows\\system32\\drivers\\ickynfsq.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[*] c:\\windows\\system32\\loghour.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[*] \\install_en.exe - [B]not-a-virus:Downloader.Win32.WinFixer.au[/B] (DrWEB: Trojan.DownLoader.36408)[*] \\setup_en.exe - [B]not-a-virus:Downloader.Win32.WinFixer.au[/B] (DrWEB: Trojan.DownLoader.36408)[/LIST][/LIST]