Помогите : Trojan.Nsanti.Packed

Printable View

04.03.2008, 15:12
vtk079

Помогите : Trojan.Nsanti.Packed

Доктор Веб обнаружил Trojan.Nsanti.Packed , что мне делать ?
C:\DOCUME~1\Admin\LOCALS~1\Temp\zamxy7il.dll - инфицирован Trojan.Nsanti.Packed
04.03.2008, 15:17
rubin

[url]http://virusinfo.info/showthread.php?t=1235[/url]
04.03.2008, 16:45
vtk079

Вложений: 3

Вот вроде всё сдесь :)
04.03.2008, 16:56
rubin

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\y82td3td.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\FDCDNT.SYS','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\y82td3td.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\y82td3td.com');
BC_ImportAll;
BC_DeleteSvc('wincab');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19122[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/CODE]

ConnectionServices и BitAccelerator деинсталлировать через Панель управления
04.03.2008, 18:48
vtk079

В HijackThis такой строчки [QUOTE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/QUOTE] не нашёл остальное сделал но никаких изменений:(
04.03.2008, 18:53
drongo

делайте новые логи, добъём ;)
04.03.2008, 19:25
vtk079

Сейчас только что обновил базы Др Веба и он обнаружил ещё один Троян [QUOTE]C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - инфицирован Trojan.Favadd.origin[/QUOTE] Вроде антивирус его удалил но я нигде про него инфу несмог найти может вы знаете что это ? И не вернётся ли он как Trojan.Nsanti.Packed?
04.03.2008, 20:03
Макcим

Ждем логов и карантин.
04.03.2008, 22:23
vtk079

Вложений: 3

Короче вот логи все я выложил, но во время сканирования локальных дисков ругался Др Веб, откуда невозмись появились несколько троянов один из которых удалил и всё норм а второй пока 3-жды дал о себе знать после того как я его удалил [QUOTE]04-03-2008 20:13:25 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - инфицирован [B]Trojan.Favadd.origin[/B]
04-03-2008 20:13:43 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - удален
04-03-2008 21:08:29 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - ошибка распаковки
04-03-2008 21:47:44 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - инфицирован [B]Trojan.Favadd.origin[/B]
04-03-2008 21:48:04 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - удален
04-03-2008 22:01:18 [BG] C:\n1deiect.com - инфицирован [B]Trojan.PWS.Wsgame.2387[/B]
04-03-2008 22:02:14 [BG] C:\n1deiect.com - удален
04-03-2008 22:29:14 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - инфицирован [B]Trojan.Favadd.origin[/B]
04-03-2008 22:35:08 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - удален
04-03-2008 22:58:19 [CL] C:\DOCUME~1\Admin\LOCALS~1\Temp\avz_368_2.tmp - ошибка распаковки
[/QUOTE]:O:O:O
04.03.2008, 22:26
rubin

Пофиксьте
[code]O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)[/code]

22.222.222.222 111.111.112.222
Айпи знакомы?
04.03.2008, 22:28
vtk079

нет не знаком. Я профиксил но никаких результатов ( Что далее ?
04.03.2008, 22:31
rubin

Тогда пофиксьте вдобавок:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{8D19D27F-B1FA-4D79-B821-B48FB7D666A1}: NameServer = 222.222.222.222 111.111.112.222[/code]

192.168.1.1,213.24.0.1 - а эти?
04.03.2008, 22:36
vtk079

аааа я понял это ипы которые первые их я прописывал кода ип менял только вот сменить обратно забыл а что это так важно ? а 192.168.1.1 этот ип надобыло вводить в настройках сетевой платы при подключение в интернет
04.03.2008, 22:55
rubin

Ну тогда ничего плохого больше нет... есть жалобы?
05.03.2008, 17:29
vtk079

я незнаю что произашло но после перезагрузки WINDOWS он больше не запустился , доходило до проверки устройств а там перезагрузка и ничего помогла только переустоновка винды переустоновил вроде всё норм ))) спс
05.03.2008, 18:02
rubin

"последняя удачная конфигурация" надо было попробовать...
05.03.2008, 18:40
vtk079

Как только не пробовал ничего не помагало видимо что то серьёзное удалилось )))