Помогите убить Backdoor_win32_small_os

Printable View

22.05.2007, 17:43
bsv22

Вложений: 3

Помогите убить Backdoor_win32_small_os

Прочитал Ваши советы другим пользователям,но не помогло!Высылаю логи-подскажите что еще можно сделать?
22.05.2007, 17:58
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\comi.dll','');
DeleteFile('C:\WINDOWS.0\system32\perfc000.dat');
DeleteFile('C:\WINDOWS.0\system32\comi.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\comi.dll');
BC_DeleteFile('C:\WINDOWS.0\system32\perfc000.dat');
BC_QrSvc('WinDriver6');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
22.05.2007, 18:37
bsv22

Карантин выслал.
22.05.2007, 19:36
Макcим

Повторите логи.
22.05.2007, 20:47
bsv22

Вложений: 3

Высылаю новые логи.Кстати теперь Касперский перестал ругаться что нашел данный вирус!
23.05.2007, 08:00
Bratez

Пофиксите строчку в HijackThis:
[code]
O2 - BHO: H - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - C:\WINDOWS.0\system32\comi.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\drivers\windrvr6.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Ati2evxx.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
23.05.2007, 21:13
bsv22

Новый карантин отправил!
24.05.2007, 01:15
Bratez

Файлы в карантине чистые. Если проблема исчезла, тогда наверно всё.
24.05.2007, 11:22
bsv22

Огромное Вам спасибо!Приятно что работаете оперативно!
24.05.2007, 11:32
Макcим

Советую почитать на досуге вот [URL="http://security-advisory.newmail.ru/"]эту[/URL] книгу.

Вы можете нас отблагодарить [URL="http://www.virusinfo.info/showthread.php?t=3519"]так[/URL]. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте [URL="http://www.virusinfo.info/showthread.php?t=2645"]тут[/URL] и [URL="http://www.virusinfo.info/showthread.php?t=7294"]тут[/URL].

Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

Удачи!
24.05.2007, 16:29
bsv22

Проверил Касперским и вот что обнаружил:

E:\Documents and Settings\\Мои документы\Antivirus\avz4\avz4\Quarantine\2007-05-22\avz00004.dta обнаружен вирус Trojan-Spy.Win32.Banker.cnq
24.05.2007, 16:41
Bratez

Правильно, это копия того самого comi.dll в карантине AVZ :)
24.05.2007, 16:46
Макcим

[quote]Проверил Касперским и вот что обнаружил:

E:\Documents and Settings\\Мои документы\Antivirus\avz4\avz4\Quarantine\2007-05-22\avz00004.dta обнаружен вирус Trojan-Spy.Win32.Banker.cnq[/quote]Это в карантине AVZ. Просто удалите.
22.02.2009, 01:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.0\\system32\\comi.dll - [B]Trojan-Banker.Win32.Banker.cnq[/B] (DrWEB: Trojan.PWS.Banker.8985)[/LIST][/LIST]