опять троян, посмотрите плиз логи

Printable View

01.06.2009, 13:29
pcsoft

опять троян, посмотрите плиз логи

опять троян

вот что говорит Авира:

C:\WINDOWS\I386\SVCPACK\Logo.exe
[0] Archive type: RAR SFX (self extracting)
--> oemlogo.exe
[DETECTION] Is the TR/Agent.221001.A Trojan

помогите убить врага
01.06.2009, 15:18
Rene-gad

[QUOTE]Загружена база: сигнатуры - 217772, нейропрофили - 2, микропрограммы лечения - 56, база от [COLOR="Red"]07.04.2009 [/COLOR]23:20[/QUOTE]
Обновите базы, сделайте 3 лога по правилам.
01.06.2009, 17:30
pcsoft

новые логи
01.06.2009, 17:54
Rene-gad

[QUOTE=Rene-gad;410100]сделайте 3 лога по правилам.[/QUOTE]Сколько логов Вы сделали? Закрыть тему сейчас??? >:(
01.06.2009, 19:21
pcsoft

не надо пока закрывать, :(

извините за нарушения-вирусы достали=теряю ориентацию

[size="1"][color="#666686"][B][I]Добавлено через 1 час 21 минуту[/I][/B][/color][/size]

не получаеться сделать virusinfo_syscure.zip, скрипт выполняеться, а логов не видно
01.06.2009, 20:02
Rene-gad

[QUOTE=pcsoft;410198]
не получаеться сделать virusinfo_syscure.zip, скрипт выполняеться, а логов не видно[/QUOTE]Вы Авиру выключаете перед запуском АВЗ?
01.06.2009, 20:50
pcsoft

да
01.06.2009, 21:34
Rene-gad

Я в прикрепленных логах ничего плохого не вижу.
Попробуйте так:
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. - [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
[/CODE]
После перезагрузки сделайте лог
[b]virusinfo_syscure.zip [/b]
02.06.2009, 00:01
pcsoft

virusinfo_syscure.zip опять не делаеться - по ходу там КИДО сидит C:\WINDOWS\system32\oaqhxcp.dll
02.06.2009, 00:16
Rene-gad

Возьмите специальный АВЗ по ссылке в подписи, там базы не обновляются.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oaqhxcp.dll','');
DeleteFile('C:\WINDOWS\system32\oaqhxcp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Попробуйте сделать логи.
02.06.2009, 00:22
pcsoft

Special AVZ не качается, пишет

This site is no longer in service or has been disabled due to a terms of service violation
02.06.2009, 00:26
Rene-gad

У меня работает: [url]http://www.speedshare.org/download.php?id=DEAC5E593[/url]
02.06.2009, 01:04
pcsoft

Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
02.06.2009, 01:06
Rene-gad

Вынесу тему на консилиум...
А скрипт выполнить удалось: [url]http://virusinfo.info/showpost.php?p=410368&postcount=10[/url] ?
02.06.2009, 01:16
pcsoft

наверное нет
02.06.2009, 09:15
Kuzz

[B][U][COLOR="Navy"]pig[/COLOR][/U][/B] подсказывает, что это Outpost мешает выполнить скрипт.
Выключите его и попытайтесь сделать 3-й лог
02.06.2009, 10:17
pcsoft

да нет-Outpost отключен, там КИДО, я не могу на антивирусные сайты зайти
02.06.2009, 10:22
Kuzz

Похоже это как раз для Вас:
[QUOTE]Краткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
Способы удаления
Удаление сетевого червя производится с помощью [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]специальной утилиты KK.exe[/URL].

Локальное удаление:

1. Скачайте архив [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]KK_v3.4.7.zip[/URL] и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KK.exe .

Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
3. Дождитесь окончания сканирования.
ВниманиеЕсли на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
4. Выполните сканирование всего компьютера с помощью вашего Антивируса.

Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
* Установить патчи, закрывающие уязвимости [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx"]MS08-067[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx"]MS08-068[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx"]MS09-001[/URL] (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.[/QUOTE]
02.06.2009, 10:24
pcsoft

я это уже делал, за исключением последнего пункта
03.06.2009, 18:41
pcsoft

чем еще можно помочь моей системе?