[B]с помощью аваста, AVZ и хайджека поубивал вирусы, но есть подозрение, что не до конца.
хайджек не загрузить, пишет:
hijackthis.log[/B]:
Ваш файл занимает 22.7 Кбайт байт, что превышает предел на форуме в 19.5 Кбайт для этого типа файла.
Printable View
[B]с помощью аваста, AVZ и хайджека поубивал вирусы, но есть подозрение, что не до конца.
хайджек не загрузить, пишет:
hijackthis.log[/B]:
Ваш файл занимает 22.7 Кбайт байт, что превышает предел на форуме в 19.5 Кбайт для этого типа файла.
при загрузке аваста, он находит опять startdrv.exe в C:\WINDOWS\temp, пишет, Win32:Inject-DO [Trj], после чего обнаруживает вирус в системной памяти...
[QUOTE=judgesyd;180016]хайджек не загрузить, пишет:
hijackthis.log:
Ваш файл занимает 22.7 Кбайт байт, что превышает предел на форуме в 19.5 Кбайт для этого типа файла.[/QUOTE]Заархивируйте лог в zip архив.
лог джека
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\startdrv.exe','');
QuarantineFile('C:\WINDOWS\Temp.$$$\startdrv.exe','');
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
QuarantineFile('fsmgmt.dll','');
QuarantineFile('Winlognotif.dll','');
QuarantineFile('copy.exe','');
QuarantineFile('C:\WINDOWS\system32\scrnsave.exe','');
QuarantineFile('C:\WINDOWS\system32\secpol.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
SetServiceStart('smtpdrv', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\secpol.exe');
DeleteFile('copy.exe');
DeleteFile('fsmgmt.dll');
DeleteFile('C:\WINDOWS\Temp.$$$\startdrv.exe');
DeleteFile('C:\WINDOWS\TEMP\startdrv.exe');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('runtime2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи....
все сделал, высылаю файлы
C:\WINDOWS\system32\drivers\runtime2.sys Rootkit.Win32.Agent.jp
C:\WINDOWS\system32\fsmgmt.dll Trojan-PSW.Win32.WOW.aic
C:\WINDOWS\Temp.$$$\startdrv.exe Trojan.Win32.Pakes.sb
C:\WINDOWS\TEMP\startdrv.exe Trojan.Win32.Pakes.sb
ConnectionServices - деинсталировать ...
пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Policies\Explorer\Run: [scrnsave] C:\WINDOWS\system32\scrnsave.exe
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
C:\WINDOWS\system32\scrnsave.exe , Winlognotif.dll -поищите при помощи авз ,,, если найдутся пришлите по правилам ..
сделал... первый файл не нашелся, второй - выслал по правилам...
при выполнении скрипта аваст ругнулся (забыл отключить его), в логах записал:
Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\Drivers\vdiyodu4.sys" file
присланный файл чистый ...
пофиксите ...
[code]
O4 - HKLM\..\Policies\Explorer\Run: [scrnsave] C:\WINDOWS\system32\scrnsave.exe
[/code]
повторите логи начиная с пункта 10 правил ...
все сделал...
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
[/code]
Перезагрузитесь и повторите лог HijackThis.
Посмотрите, нужно ли вам что-либо из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
вроде все норм, аваст тоже не ругается... спасибо большое
в логе чисто ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\мито\\рабочий стол\\avz+hjt\\backups\\backup-20080129-160920-727.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.c[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.c[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]not-a-virus:AdWare.Win32.BHO.jq[/B] (DrWEB: Adware.AdsTech)[*] c:\\program files\\connectionservices\\connectionservices.dll.bak - [B]Trojan.Win32.ConnectionServices.j[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] c:\\windows\\system32\\fsmgmt.dll - [B]Trojan-GameThief.Win32.WOW.aic[/B] (DrWEB: Trojan.PWS.Wow)[*] c:\\windows\\temp.$$$\\startdrv.exe - [B]Trojan.Win32.Pakes.sb[/B] (DrWEB: Trojan.MulDrop.9341)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan.Win32.Pakes.sb[/B] (DrWEB: Trojan.MulDrop.9341)[/LIST][/LIST]