странный вирус, при загрузке копьютера nod32 всегда находит какие-то подозрительные файлы на подобие Nly32.sys, а также tcpsr.sys
подозреваю сабж.
Printable View
странный вирус, при загрузке копьютера nod32 всегда находит какие-то подозрительные файлы на подобие Nly32.sys, а также tcpsr.sys
подозреваю сабж.
Вот что получилось:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\win_6.dll','');
QuarantineFile('C:\temp\123\Agent.exe','');
DeleteService('Yfu63');
DeleteService('Xyr31');
DeleteService('Xhs20');
DeleteService('Wua43');
DeleteService('Wkp67');
DeleteService('tcpsr');
DeleteService('Aif05');
SetServiceStart('Aif05', 4);
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Aif05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ama16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ant57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Aqc04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Aty18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Chm13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Clt32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dao05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ddj66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Eef28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ftp23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ilp44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jou50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kcr75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Min00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mpj83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pch45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Spw14.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tmr65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wkp67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wua43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xhs20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xyr31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfu63.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пара файликов там интересных есть. Надо загрузить карантин через ссылку.
Сделать новые логи.
скрипт выполнен. как сказал AVZ - без ошибок.:?
но почему-то в карантине был только один файлик, который и был выслан по ссылке.
Профиксить в Хиджаке:
[CODE]F2 - REG:system.ini: Shell=
O20 - Winlogon Notify: WinNt32 - WinNt64.dll (file missing)[/CODE]
Outpost у Вас был установлен?
Если Вы его удалили, то надо пролечиться от его остатков. Для этого скачать Winsockxpfix. Сохранив предварительно сетевые настройки, запустить утилиты. После нее сетевые настройки надо будет восстановить.
Вот этот файлик поискать:
c:\windows\system32\win_6.dll
Если найдется, то прислать через карантин.
Winsockxpfix чего-то там пофиксилось.
файлика win_6.dll нигде не видно.
но ссылочка в HijackThis на этот файлик видна.
[code]O20 - AppInit_DLLs: c:\windows\system32\win_6.dll [/code]
Его искал через AVZ?
Если не найдется, то профикси эту строчку.
После этого нужны новые логи.
искал через AVZ, "сервис - поиск файлов на диске" - нету
даже странно.. а что это могло быть?
пофиксил в HijackThis.
вот новые логи.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Nly32');
DeleteService('Osx46');
DeleteService('Uoj53');
QuarantineFile('C:\temp\123\Agent.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Osx46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nly32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uoj53.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Uoj53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nly32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Osx46.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин и повторите логи.
после выполнения скрипта почему-то в карантин ничего нужного не попало. вот логи выполнения скрипта и стандартные после перезагрузки.
карантин тоже передаю.
В логах ничего плохого. Как работает ПК?
Если интересно, то можешь почитать:
[url]http://www.threatexpert.com/report.aspx?uid=969eff11-7f82-4d94-8903-f0b62fe0f19a[/url]
[quote=Rene-gad;246470]В логах ничего плохого. Как работает ПК?[/quote]
нормально, нареканий нет.
спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=PavelA;246555]Если интересно, то можешь почитать:
[URL]http://www.threatexpert.com/report.aspx?uid=969eff11-7f82-4d94-8903-f0b62fe0f19a[/URL][/quote]
интересно. почитал, даже кое-что понял :) троянчик.
но почему он сам по себе пропал? или это заслуга AVZ?
Не-а. Его раньше а/вирус убил, а в реестре следы остались.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]