Nod32 ругается на ftp34.dll (пишет модифицированный win32/PSW.Agent.NHG троян) но удалить его не может :(
Printable View
Nod32 ругается на ftp34.dll (пишет модифицированный win32/PSW.Agent.NHG троян) но удалить его не может :(
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Fex\svchost.exe','');
BC_DeleteSvc('Urh10');
QuarantineFile('C:\WINDOWS\System32\Drivers\Urh10.sys','');
BC_DeleteSvc('Ubh17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubh17.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('Rlj53');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rlj53.sys','');
BC_DeleteSvc('Quk41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Quk41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qca86.sys','');
BC_DeleteSvc('Dqg31');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dqg31.sys','');
BC_DeleteSvc('Chw75');
QuarantineFile('C:\WINDOWS\System32\Drivers\Chw75.sys','');
BC_DeleteSvc('Bnt50');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bnt50.sys','');
BC_DeleteSvc('Blj64');
QuarantineFile('C:\WINDOWS\System32\Drivers\Blj64.sys','');
QuarantineFile('C:\WINDOWS\system32\wdfmgr.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
QuarantineFile('C:\WINDOWS\System32\dmsvct.dll','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\dmsvct.dll');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Blj64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bnt50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Chw75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dqg31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qca86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Quk41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rlj53.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Urh10.sys');
DeleteFile('C:\Documents and Settings\Fex\svchost.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
повторите логи ...
Почти все экзешники перестали запускаться - вылезает окно "Выбор программы для открытия этого файла"... avz тоже незапускается... что делать?
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
Update:
Экзешники можно запускать если в "выборе программ" указать путь к этому экзешнику... Также запускаются все типовые файлы.... например *.avi c помощью mplayerc.exe
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Выслал карантин
Запустите AVZ с помощью самой себя. Далее Файл - Восстановление системы - отметить "Восстановление параметров запуска exe..." - Выполнить
И перезагрузитесь для верности.
Спасибо, все вроде нормально.
Пофиксите в HijackThis:
[code]
O3 - Toolbar: (no name) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Urh10');
BC_DeleteSvc('Ubh17');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Rlj53');
BC_DeleteSvc('Quk41');
BC_DeleteSvc('Qca86');
BC_DeleteSvc('Dqg31');
BC_DeleteSvc('Chw75');
BC_DeleteSvc('Bnt50');
BC_DeleteSvc('Blj64');
BC_DeleteSvc('Schedule');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Сделал
Теперь все чисто.
Какие-то проблемы остались?
Все отлично и быстро работает! Спасибо!
Систему обновить в ближайшее время необходимо
[QUOTE]Platform: Windows XP[B] SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00[/B][B] SP2 [/B](6.00.2900.2180)[/QUOTE]
Если проблем не наблюдается, то нам было бы интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\fex\\svchost.exe - [B]Worm.Win32.AutoRun.dze[/B] (DrWEB: BackDoor.BotSiggen.16)[*] c:\\documents and settings\\localservice\\svchost.exe - [B]Worm.Win32.AutoRun.dze[/B] (DrWEB: BackDoor.BotSiggen.16)[*] c:\\windows\\system32\\dmsvct.dll - [B]Trojan.Win32.Zapchast.jd[/B] (DrWEB: Trojan.Starter.510)[*] c:\\windows\\system32\\drivers\\services.exe - [B]Worm.Win32.AutoRun.dze[/B] (DrWEB: BackDoor.BotSiggen.16)[*] c:\\windows\\system32\\winnt64.dll - [B]Trojan-Downloader.Win32.Mutant.aff[/B] (DrWEB: Trojan.DownLoader.63559)[/LIST][/LIST]