Printable View
Добрый день! После открытия какой-то страницы в интернете, KIS обнаружил вирус и удалил его, но тут же процесс svchost стал пытаться что-то отправлять по различным адресам на 25 порт.
После полной проверки антивирусом и AVPTool (в обычном и безопасном режимах) ничего выявлено не было. Пожалуйста, помогите! Заранее благодарен.
P.s. И еще у меня заблокирована закладка Рабочий стол в окне свойств экрана. Как ее восстановить?
Прилагаю необходимые файлы.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B8A5DE1C-BC13-4DD2-BF00-7BE3C603F9F2}');
QuarantineFile('C:\WINDOWS\system32\DomainHelper.dll','');
DelBHO('{04CDB16C-AB38-43CD-A86A-6FEB90290939}');
QuarantineFile('C:\Program Files\PadsysAssistant\AssistantLibrary.dll','');
QuarantineFile('C:\WINDOWS\system32\atiptaxx.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
QuarantineFile('C:\WINDOWS\system32\Joklfl32.dll','');
QuarantineFile('C:\WINDOWS\system32\syspools.exe','');
QuarantineFile('C:\WINDOWS\9129837.exe','');
QuarantineFile('C:\DOCUME~1\tech\LOCALS~1\Temp\KB908665.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub51.sys','');
DeleteService('Winub51');
DeleteService('Winhn28');
QuarantineFile('Winhn28.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Nera009.sys','');
DeleteFile('Winhn28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub51.sys');
DeleteFile('C:\WINDOWS\9129837.exe');
DeleteFile('C:\WINDOWS\system32\syspools.exe');
DeleteFile('C:\WINDOWS\system32\Joklfl32.dll');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\Program Files\PadsysAssistant\AssistantLibrary.dll');
DeleteFile('C:\WINDOWS\system32\DomainHelper.dll');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Логи и карантин выслал.
Закладку Рабочий стол - разблокировал самостоятельно с помощью AVZ.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\tech\LOCALS~1\Temp\KB908665.exe');
DeleteFile('C:\Program Files\ASMonitor\hprog.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
Высылаю очередную порцию логов
[URL="http://www.antirootkit.com/software/IceSword.htm"]скачайте[/URL] C:\WINDOWS\system32\Drivers\Winyf17.sys -force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('44AE4113-C121-10CC-1F32-A0BC12E2014D');
QuarantineFile('C:\WINDOWS\system32\msapplg.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winyf17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winyf17.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\msapplg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скажите, пожалуйста, что такое force delete? Как я понимаю это удалить вручную. И для чего мне использовать IceSword?
[url]http://virusinfo.info/showthread.php?t=17228[/url]
Логи. Карантин выслал тоже.
ничего плохого ....
А что это такое было и почему KIS эту гадость не уничтожил?
Большое спасибо за помощь!:biggrin:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\tech\\locals~1\\temp\\kb908665.exe - [B]Trojan.Win32.Agent.awby[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\program files\\asmonitor\\hprog.dll - [B]not-a-virus:Monitor.Win32.ActualSpy.27[/B] (DrWEB: Trojan.ActualSpy)[/LIST][/LIST]