хэлп

Printable View

23.07.2009, 18:52
РафаэльСайф

Вложений: 3

хэлп

Здравствуйте. проблемма такая. идёт большой исходящий трафик. NOD систематически ругается на rootkit.agent NJI.
23.07.2009, 20:23
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('logon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('00000587.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\00000587.sys','');
DeleteFile('C:\Documents and Settings\raf\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
На какой файл ругается антивирус?
24.07.2009, 08:15
РафаэльСайф

Спасибо за ответ. NOD ругается на C:\WINDOWS\System 32\drivers\synsenddv.sys
При попытке выполнить скрипт, AVZ выдаёт ошибку- ошибка:';' expected, позиция [11:1]
24.07.2009, 09:12
light59

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('logon.exe','');
QuarantineFile('00000587.sys','');
DeleteFile('C:\Documents and Settings\raf\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('c:\windows\system32\logon.exe');
DelCLSID('95289393-33EA-4F8D-B952-483415B9C955');
BC_Importall;
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Пришлите карантин.

Повторите логи.
Сделайте ещё такой лог [URL="http://virusinfo.info/showthread.php?t=40118"]http://virusinfo.info/showthread.php?t=40118[/URL]
25.07.2009, 19:21
РафаэльСайф

Вложений: 3

па

отправляю логи.
запускаю gmer, через некоторое время NOD ругается на C:\WINDOWS\System 32\drivers\synsenddv.sys и прога вылетает.
25.07.2009, 19:26
РафаэльСайф

па

отправляю логи.
запускаю gmer, через некоторое время NOD ругается на C:\WINDOWS\System 32\drivers\synsenddv.sys и прога вылетает.
25.07.2009, 20:53
РафаэльСайф

Вложений: 1

выкладываю лог от gmer, то что есть.
25.07.2009, 23:58
thyrex

Пофиксить в HiJack
[code] R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O2 - BHO: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\slqsgexnvlqw.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\slqsgexnvlqw.sys');
QuarantineFile('C:\WINDOWS\system32\logon.exe','');
QuarantineFile('000005BC.sys','');
DeleteFile('000005BC.sys');
DeleteFile('C:\WINDOWS\system32\logon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service kridyjzmjgglav
gmer.exe -del file "C:\WINDOWS\system32\drivers\slqsgexnvlqw.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kridyjzmjgglav"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделайте новые логи + лог gmer
26.07.2009, 15:28
РафаэльСайф

Вложений: 3

gmer выдаёт ошибку-C:\WINDOWS\system32\drivers\slqsgexnvlqw.sys не найден указанный модуль
26.07.2009, 15:36
РафаэльСайф

Т.е. при запуске cleanup.bat выдаёт такую ошибку.
26.07.2009, 17:06
thyrex

На ошибки внимания не обращайте.

Делайте лог gmer
26.07.2009, 19:40
РафаэльСайф

Вложений: 1

лог от gmer
26.07.2009, 20:35
thyrex

В логе чисто. Что с проблемой?
26.07.2009, 20:45
РафаэльСайф

Вроде всё нормально. прдыдущих проблем пока нет.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

не хочу торопиться! Но, большое спасибо!!!
26.07.2009, 21:03
thyrex

Установите Adobe Acrobat 9.1 или удалите старый
27.07.2009, 21:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\logon.exe - [B]Worm.Win32.AutoRun.aryp[/B] ( DrWEB: Win32.HLLW.Autoruner.6787, BitDefender: Worm.Generic.76900 )[/LIST][/LIST]