install_temp_318

Printable View

23.02.2008, 12:38
Alexander63

install_temp_318

Не могу справиться с вирусом.При запуске exe-шников создаются папки "install_temp_318".Avz-exe виден только в безопасном режиме,cureit не запускается....что делать?
23.02.2008, 13:35
Bratez

Переименуйте avz.exe в abc.pif.
Если в обычном никак - сделайте логи хотя бы в безопасном.
23.02.2008, 17:53
Alexander63

Вложений: 3

Проблема с папками 'install_temp' вроде решена с помощью cureit в безопасном режиме. Но в обычном режиме cureit всё ещё не доступен. Логи высылаю.
23.02.2008, 18:01
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\Installer\{533326bf-bf08-44d5-a6e3-1b751ed6facb}\zip.dll','');
QuarantineFile('C:\DOCUME~1\FLAMENCO\LOCALS~1\Temp\nsg2.tmp\System.dll','');
DeleteFile('C:\DOCUME~1\FLAMENCO\LOCALS~1\Temp\nsg2.tmp\System.dll');
DeleteFile('C:\WINDOWS\Installer\{533326bf-bf08-44d5-a6e3-1b751ed6facb}\zip.dll');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
BC_DeleteSvc('protect');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18517[/url]).
Обновите базы AVZ.
Сделайте новые логи.
23.02.2008, 20:50
Alexander63

Вложений: 3

Новые логи
23.02.2008, 21:09
V_Bond

пофиксите ...
[code]
O9 - Extra button: (no name) - DctMapping - (no file)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fprot.sys','');
DeleteFile('C:\DOCUME~1\FLAMENCO\LOCALS~1\Temp\nsb2.tmp\System.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
23.02.2008, 22:31
Alexander63

Удалил 'fprot' из system32. Проблема с cureit исчезла.
Огромное спасибо за помощь!!!
23.02.2008, 22:35
V_Bond

C:\WINDOWS\system32\fprot.sys - [B]Rootkit.Win32.Agent.abo[/B]
повторите логи начиная с пункта 10 правил ...
24.02.2008, 07:53
Alexander63

Вложений: 2

Новые логи
24.02.2008, 08:11
Bratez

Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('fprot');
BC_Activate;
RebootWindows(true);
end.[/code]
Больше ничего плохого в логах нет.
22.02.2009, 04:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\installer\\{533326bf-bf08-44d5-a6e3-1b751ed6facb}\\zip.dll - [B]Trojan-Downloader.Win32.BHO.ct[/B] (DrWEB: Trojan.DownLoader.49249)[*] c:\\windows\\system32\\fprot.sys - [B]Rootkit.Win32.Agent.abo[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\svchost.exe:ext.exe - [B]Trojan.Win32.Obfuscated.oz[/B] (DrWEB: Trojan.Spambot.3006)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.oz[/B] (DrWEB: Trojan.Spambot.3006)[/LIST][/LIST]