Win32/Static

Printable View

11.02.2009, 19:32
marker

Win32/Static

Вообщем такая проблема, антивирус (Nod32) который день уже выбиывает окно об угрозе моему компьютеру, с адреса _http://elearninschool.org/proxy4.exe_ После первого такого уведомления проверил компьютер Nod'ом32 и CureIt'ом и не то ни другое не обнаружило ничего опасного...Надеюсь что все правильно оформил, ибо очень надеюсь на вашу помощь

Требуемые файлы:
11.02.2009, 22:17
drongo

Для начала выполните скрипт @ avz, чтобы было что исследовать:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\usbservice.exe','');
QuarantineFile('C:\WINDOWS\system32\InstallHook.dll','');
QuarantineFile('C:\WINDOWS\system32\prio.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/code]
сообщите, как загрузите карантин (смотрите 3 приложение правил): [url]http://virusinfo.info/upload_virus.php?tid=39518[/url]
11.02.2009, 22:46
marker

Зделано

Файл сохранён как 090211_224430_virus_49932a9e5ee25.zip
Размер файла 329720
MD5 24adad79d0ecbb811c3e63bbe4e3f39e

P.S. Страшно стал тормозить компьютер, и просмотр страниц в интернете через раз удается )
P.S.Все правильно зделал ?
11.02.2009, 22:59
Гриша

c:\windows\usbservice.exe- [B]Trojan.Win32.Agent2.dbi[/B]

Отключите восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Usb Service 2.0');
TerminateProcessByName('c:\windows\usbservice.exe');
DeleteFile('c:\windows\usbservice.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Usb Service 2.0');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
11.02.2009, 23:22
marker

Зделано
11.02.2009, 23:26
Гриша

Восстановление мне вам отключить?

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
11.02.2009, 23:46
marker

Зделано
Воставновление системы отключено
Карантин загружен (не знаю нужно ли ето вам ?)
(_Файл сохранён как 090211_234417_virus_499338a1a616c.zip
Размер файла 6461
MD5 a54909bb105f55dd29f2bf77d0ed1f90_)

Повтор логов:
12.02.2009, 12:22
drongo

Почистите временные файлы в опере.
Проблемы есть ещё?
12.02.2009, 21:44
marker

Как почистить временные файлы в Опере ?
Проблем вроде больше нету, по крайне мере так кажется ) Огромное вам спасибо за помощь )
12.02.2009, 21:58
light59

[URL="http://virusinfo.info/showthread.php?t=10025"]http://virusinfo.info/showthread.php?t=10025[/URL]
12.02.2009, 22:19
marker

Спасибо еще раз, всё сделал )
13.02.2009, 22:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ezt[/B][*] c:\windows\usbservice.exe - [B]Trojan.Win32.Agent2.dbi[/B][/LIST][/LIST]