подозрение на вирусы

Printable View

23.02.2008, 17:33
sto

Вложений: 3

подозрение на вирусы

спасибо.
23.02.2008, 17:41
akok

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('taskmon.sys', 4);
SetServiceStart('sysvideo32', 4);
StopService('sysvideo32');
StopService('taskmon.sys');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pfc027.sys','');
QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');
QuarantineFile('C:\WINDOWS\Installer\{cef2d827-5776-4cf3-8276-8c5f0850166b}\zip.dll','');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteService('taskmon.sys');
DeleteService('sysvideo32');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18538[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) [/CODE]

Повторите логи
23.02.2008, 18:13
sto

Вложений: 2

остался подозрительный файл [U][COLOR=#0000ff]sptd.sys[/COLOR][/U]
23.02.2008, 18:29
akok

Это диамон тулз

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

C:\Program Files\Common Files\System\sysvideo32.dll - [b]Rootkit.Win32.Agent.vn[/b]

[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]

C:\WINDOWS\Installer\{cef2d827-5776-4cf3-8276-8c5f0850166b}\zip.dll - [b]Trojan-Downloader.Win32.BHO[/b]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Installer\{cef2d827-5776-4cf3-8276-8c5f0850166b}\zip.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
23.02.2008, 18:29
sto

спасибо за помощь
23.02.2008, 18:32
akok

[code]http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15-3.cab [/code] - это вам знакомо? Если нет то
[code]begin
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
end.[/code]

Повторите логи с п.10 "криминального кодекса" v-info

Какие проблемы еще остались?
22.02.2009, 04:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\system\\sysvideo32.dll - [B]Rootkit.Win32.Agent.vn[/B] (DrWEB: Trojan.NtRootKit.815)[*] c:\\windows\\installer\\{cef2d827-5776-4cf3-8276-8c5f0850166b}\\zip.dll - [B]Trojan-Downloader.Win32.BHO.ct[/B] (DrWEB: Trojan.DownLoader.49249)[/LIST][/LIST]