Помогите

Printable View

27.07.2010, 18:48
fyl

Помогите

Не понимаю что это.
Сначала я поймал trojan.ntrootkit.9374
после чего у меня совсем не работал браузер Opera.
Удалил вирус через dr.web.
Опера заработала.

Сейчас AVZ выдает:

файл: spvi.sys; тип: Rootkit
Файл: C:\WINDOWS\system32\Drivers\dwprot.sys; тип: Rootkit

Также drweb переодически находил файлы (которые сам я найти не мог) в папке Temp c вирусами: Trojan-Downloader. и Trojan.pws.ibank66
На следуйщий день их уже не было.

+

C:\WINDOWS\system32\9a10ac90.exe - инфицирован Trojan.DownLoader.origin

Вот что-то еще с AVZ:
Маскировка процесса с PID=316, имя = "drweb32w.exe", полное имя = "\Device\HarddiskVolume1\Program Files\DrWeb\drweb32w.exe"
>> обнаружена подмена PID (текущий PID=0, реальный = 316)
>> обнаружена подмена имени, новое имя = ""

Есть ли у меня какие-то проблемы ??
27.07.2010, 19:02
Шапельский Александр

Сделайте логи по правилам--[URL="http://virusinfo.info/pravila.html"]http://virusinfo.info/pravila.html[/URL]
27.07.2010, 22:09
fyl

Cделал все по правилам.
27.07.2010, 23:12
Шапельский Александр

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9a10ac90.exe,C:\WINDOWS\system32\tuopce.exe,
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tuopce.exe','');
QuarantineFile('C:\WINDOWS\system32\9a10ac90.exe','');
DeleteFile('C:\WINDOWS\system32\9a10ac90.exe');
DeleteFile('C:\WINDOWS\system32\tuopce.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
28.07.2010, 00:36
fyl

вот

Результат загрузкиФайл сохранён как 100728_013027_quarantine_4c4f4ff341f17.zip
Размер файла 1053
MD5 466f81a3153cdabfbffed6577bf70e36

Файл закачан, спасибо!
28.07.2010, 07:37
polword

- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
28.07.2010, 11:37
fyl

cделал
28.07.2010, 12:01
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог RSIT
28.07.2010, 12:15
fyl

Файл сохранён как 100728_121647_quarantine_4c4fe76fa9713.zip
Размер файла 1221
MD5 a14a970f8cb613fd57b8b88d211a1351
28.07.2010, 12:17
polword

что с проблемой?
28.07.2010, 13:18
fyl

система работает нормально..но в avz всё так же:

spky.sys;4;Перехватчик KernelMode Подозрение на Rootkit
C:\WINDOWS\system32\Drivers\dwprot.sys;4;Перехватчик KernelMode Подозрение на Rootkit
28.07.2010, 14:56
polword

[QUOTE=fyl;677761]
spky.sys;4;Перехватчик KernelMode Подозрение на Rootkit
C:\WINDOWS\system32\Drivers\dwprot.sys;4;Перехватчик KernelMode Подозрение на Rootkit[/QUOTE]
это нормально

[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
28.07.2010, 18:12
fyl

все сделал.
так у меня все чисто ?
29.07.2010, 07:13
polword

[QUOTE=fyl;677952]
так у меня все чисто ?[/QUOTE]
чисто
30.07.2010, 07:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]