Антивирус обнаружил троян

Printable View

Показывать 40 сообщений этой темы на одной странице

25.11.2009, 01:41
xcerisex

Антивирус обнаружил троян

Здравствуйте,
помогите пожалуйста. Антивирус обнаружил троян, но не удаляет его. Все работает нормально, кроме Worda
[ATTACH]182191[/ATTACH]
25.11.2009, 01:52
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:

[CODE]begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\curqp.exe','');
QuarantineFile('E:\DOCUME~1\Sonni\LOCALS~1\Temp\herss.exe','');
QuarantineFile('E:\DOCUME~1\Sonni\LOCALS~1\Temp\cvasds0.dll','');
DeleteFile('E:\DOCUME~1\Sonni\LOCALS~1\Temp\cvasds0.dll');
DeleteFile('E:\DOCUME~1\Sonni\LOCALS~1\Temp\herss.exe');
DeleteFileMask('%tmp% ','*.* ',true );
DeleteFile('C:\autorun.inf');
DeleteFile('C:\curqp.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\curqp.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\curqp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=61216[/url]

3. Сделайте новый лог исследования системы.
25.11.2009, 14:00
xcerisex

[ATTACH]182310[/ATTACH]
25.11.2009, 15:12
thyrex

Выполните скрипт
[code]begin
QuarantineFile('E:\Program Files\SeekappSrch\seekapp.dll','');
QuarantineFile('e:\program files\seekappsrch\seekappsrch.exe','');
QuarantineFile('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Выполните скрипт
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code]Пришлите [B]c:\quarantine.zip[/B] по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
25.11.2009, 16:36
xcerisex

[B]thyrex[/B], нашла красную ссылку) спасибо! что-нидудь еще надо сделать?
25.11.2009, 16:47
thyrex

Если карантин отправили, тогда ждать результат проверки
25.11.2009, 17:29
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:

[CODE]begin
SetAVZGuardStatus(True);
TerminateProcessByName('e:\program files\seekappsrch\seekappsrch.exe');
TerminateProcessByName('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
DeleteFile('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
DeleteFile('e:\program files\seekappsrch\seekappsrch.exe');
DeleteFile('E:\Program Files\SeekappSrch\seekapp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Сделайте новый лог исследования системы.
25.11.2009, 18:43
xcerisex

[ATTACH]182440[/ATTACH]

тепрь можно включить восстановление системы?
25.11.2009, 21:09
thyrex

Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\program files\seekappsrch\seekappsrch.exe');
TerminateProcessByName('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
SetServiceStart('SeekappSrch Service', 4);
DeleteService('SeekappSrch Service');
DeleteFile('E:\Program Files\SeekappSrch\seekapp.dll');
DeleteFile('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
DeleteFile('e:\program files\seekappsrch\seekappsrch.exe');
DeleteFileMask('e:\documents and settings\all users\application data\seekappsrch', '*.*', true);
DeleteFileMask('e:\program files\seekappsrch', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделать новый лог
25.11.2009, 21:58
xcerisex

[ATTACH]182495[/ATTACH]
25.11.2009, 22:25
Aleksandra

[QUOTE]Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
Восстановление системы: [COLOR="Red"]включено[/COLOR][/QUOTE]
[COLOR="#ff0000"][B]Отключите![/B][/COLOR]

Выполните в AVPTool скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\program files\seekappsrch\seekappsrch.exe');
TerminateProcessByName('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
DeleteFile('e:\documents and settings\all users\application data\seekappsrch\seekapp165.exe');
DeleteFile('e:\program files\seekappsrch\seekappsrch.exe');
DeleteFile('E:\Program Files\SeekappSrch\seekapp.dll');
DeleteFileMask('E:\Program Files\SeekappSrch', '*.*', true);
DeleteDirectory('E:\Program Files\SeekappSrch');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте новый лог исследования системы.
25.11.2009, 23:30
xcerisex

отключила восстановление системы.
[ATTACH]182538[/ATTACH]
25.11.2009, 23:41
Aleksandra

[QUOTE=xcerisex;516995]отключила восстановление системы.[/QUOTE]
Нет, не отключили!

Пуск - Выполнить - services.msc
Найдите службу восстановления.
Переведите ее в состояние Отключена + нажмите кнопку Стоп
Применить - ОК
26.11.2009, 00:42
xcerisex

1. отключила восстановление
[ATTACH]182557[/ATTACH]
2. выполнила скрипт
3. сделала новый лог. но исследование системы последние пару раз прошло очень быстро, не так как прежде.
[ATTACH]182556[/ATTACH]
26.11.2009, 01:31
Aleksandra

Сделайте полную проверку компьютера с помощью CureIt...
28.11.2009, 22:33
xcerisex

Систему просканировала, но файл с отчетом почему-то не прикрепляется(
29.11.2009, 01:30
pig

Какой отчёт пытаетесь прикрепить?
30.11.2009, 11:38
xcerisex

от CureIt
30.11.2009, 23:37
pig

Лог или CSV, сохранённый из главного окна? Оба в архив заверните - один здоровый, у второго расширение запрещённое к вложению.
04.12.2009, 21:52
xcerisex

это csv
[ATTACH]187162[/ATTACH]

Показывать 40 сообщений этой темы на одной странице