Sanitardiska

Printable View

16.10.2008, 06:39
avh6

Вложений: 3

Sanitardiska

Появился вирус : в трее всплывает желтый треугольник "системного извещения" и грузятся сайты _hттp://sanitardiska
_hттp://antispyexpertpro
на которых предлагают загрузить программы "антитроянов и антивирусов" Касперский 7 выявляет попытки проникновения траянов мутант генерик и др процесса инвадер и др проведена была процедура сканирования утилитой AVZ логи прилагаю Помогите пожалуста
16.10.2008, 10:34
Numb

На время выполнения скриптов, отключитесь от сети, отключите антивирусный монитор и отключите автоматическое восстановление системы.
Пофиксите с помощью hijackthis строчку: [code]O2 - BHO: (no name) - {1AB6AAB5-112B-41D0-943E-4C9421EDEC90} - C:\WINDOWS.0\system32\avifil.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\ASTAudioFil.dll','');
QuarantineFile('C:\WINDOWS.0\system32\cisvc.exe','');
QuarantineFile('C:\WINDOWS.0\system32\mqtgsvc.exe','');
QuarantineFile('C:\WINDOWS.0\System32\snmp.exe','');
QuarantineFile('C:\WINDOWS.0\system32\atiok3xo.dll','');
QuarantineFile('C:\WINDOWS.0\system32\atiok3x.dll','');
QuarantineFile('C:\WINDOWS.0\system32\asycfil.dll','');
QuarantineFile('c:\windows.0\system32\mqsvc.exe','');
QuarantineFile('c:\windows.0\system32\inetsrv\inetinfo.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.0\Главное меню\Программы\Автозагрузка\msupd_0810_upd100127.exe','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\winacpci.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\KDCOM.DLL','');
QuarantineFile('C:\WINDOWS.0\system32\avifil.dll','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS.0\Главное меню\Программы\Автозагрузка\msupd_0810_upd100127.exe');
BC_DeleteFile('C:\Documents and Settings\All Users.WINDOWS.0\Главное меню\Программы\Автозагрузка\msupd_0810_upd100127.exe');
DeleteFile('C:\WINDOWS.0\system32\avifil.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\avifil.dll');
DeleteFile('C:\WINDOWS.0\system32\atiok3xo.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\atiok3xo.dll');
DeleteFile('C:\WINDOWS.0\system32\atiok3x.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\atiok3x.dll');
DeleteFile('C:\WINDOWS.0\system32\asycfil.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\asycfil.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=32136[/url] , как написано в прил.2 правил, и повторите логи.
16.10.2008, 19:28
avh6

Вложений: 3

Выполнил , что рекомендовали прилагаю логи карантин отослал по ссылке
16.10.2008, 19:39
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {2FEA208F-DE8B-4C02-958C-720A19B21EBF} - C:\WINDOWS.0\system32\card.dll
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\Cache.dll','');
QuarantineFile('C:\WINDOWS.0\system32\browseu.dll','');
QuarantineFile('C:\WINDOWS.0\system32\avwa.dll','');
QuarantineFile('C:\WINDOWS.0\system32\ASTAudioFil.dll','');
DelBHO('{2FEA208F-DE8B-4C02-958C-720A19B21EBF}');
QuarantineFile('C:\WINDOWS.0\system32\card.dll','');
DeleteFile('C:\WINDOWS.0\system32\card.dll');
DeleteFile('C:\WINDOWS.0\system32\ASTAudioFil.dll');
DeleteFile('C:\WINDOWS.0\system32\avwa.dll');
DeleteFile('C:\WINDOWS.0\system32\browseu.dll');
DeleteFile('C:\WINDOWS.0\system32\Cache.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
17.10.2008, 06:47
avh6

Вложений: 3

все сделал, правда выполняя создание логов в прошлый раз по ошибке не перезагрузив AVZ после получения скрипта получения и сбора инф для раздела "помогите"включил Касперского и теперь он не грузит новые базы,сейчас делая логи сделал все правильно но базы не обновляет Новые логи прилагаю
17.10.2008, 17:04
Гриша

В логах чисто, сделайте восстановление Касперского...
17.10.2008, 19:05
avh6

БОЛЬШОЕ СПАСИБО ЗА ПОМОЩЬ! Все нормально - санитардиска исчез версию касперского обновил на Антивирус Касперского 2009 - базы загружаются все работает нормально Один вопрос что делать с карантином AVZ и архивом virus.zip? Удалить их через корзину или сохранить (мало ли что) Еще раз большое спасибо за помощь
17.10.2008, 19:29
Гриша

Удалите архив, карантин очистите...
22.02.2009, 08:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.windows.0\\главное меню\\программы\\автозагрузка\\msupd_0810_upd100127.exe - [B]Trojan-Dropper.Win32.Agent.yaq[/B] (DrWEB: BackDoor.Minirem.44)[*] c:\\windows.0\\system32\\astaudiofil.dll - [B]Trojan.Win32.BHO.hdh[/B] (DrWEB: Trojan.DownLoad.8662)[*] c:\\windows.0\\system32\\asycfil.dll - [B]Trojan.Win32.BHO.hdh[/B] (DrWEB: Trojan.DownLoad.8662)[*] c:\\windows.0\\system32\\atiok3x.dll - [B]Trojan.Win32.BHO.hdh[/B] (DrWEB: Trojan.DownLoad.8662)[/LIST][/LIST]