обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
Printable View
обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('fire.scr','');
QuarantineFile('C:\WINDOWS\system32\svchf8x.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
QuarantineFile('\SystemRoot\system32\drivers\kxraunwa.dat','');
QuarantineFile('C:\WINDOWS\system32\adsnd.dll','');
DeleteFile('C:\WINDOWS\system32\adsnd.dll');
DeleteFile('C:\WINDOWS\system32\svchf8x.dll');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
3.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis (Что останется)
[CODE]
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll
O3 - Toolbar: Starware Screensavers Toolbar - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-21-299502267-562591055-725345543-1003\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe (User '?')
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchf8x.dll
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)
[/CODE]
4.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
5.Повторить логи
Надеюсь, что все сделано правильно :)!
Спасибо огромное за помощь!:appl:
c:\windows\system32\adsnd.dll [B]Trojan-Downloader.Win32.Delf.dbo[/B]
C:\WINDOWS\system32\drivers\kxraunwa.dat [B]Rootrit.Win32.Agent.pk[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\adsnd.dll');
DeleteFile('C:\WINDOWS\system32\drivers\kxraunwa.dat');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пофиксите
[code]
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
[/code]
повторите логи ....
То что вы делаете - это реальная помощь....:00000465::ballon:
Только у меня не было в списке:
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
это нормально?
повторяю логи...
P.S. еще вопрос... как быть теперь с восстановлением системы, оно же было отключено согласно пункту [B][COLOR=#a52a2a]7. [/COLOR][/B](Отключите восстановление системы (Windows Me/XP). [I]*смотрите далее Приложение 1.). Нужно вернуть настройки обратно?[/I]
в логах теперь чисто ....
восстановление системы можно включить ...
УРРРРРРРАААААААААА........!!!!!!!!:2jump::L:00000463::sunny:радость переполняет меня :)!
СПАСИБО ЕЩЕ РАЗ за помощь!!!! :remybussi ЭТО КРУТО!
вот уж не думала, что мне кто-то поможет :girlwink:!
теперь можно просто пользоваться касперским?
или нужно еще что-то делать, чтобы быть в полной уверенности, что комп чист?????
кстати, у меня уже давно выскакивает сообщение при выключении компа "СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ" со звуком "ТАМ!"... а потом звук выключения винды та-да-да-дам...
что это может быть???? ЭТО СТРАШНО?????
СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ .... дальше должно идти имя файла какое ?
система не может остановить какое-то приложение ...
я сейчас перезагружу комп и посмотрю что он мне там пишет!
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо :)! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить ;)!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо :)! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить ;)!
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
ах :(... рано обрадовалась.. решила еще раз перезагрузить комп и выскачило сообщение "сбой при инициализации приложения..." а дальше не успеваю прочитать.... очень быстро табличка выскакивает и выключается комп...
что делать? :(
не думаю что это что-то плохое .... так система может ругаться например на.... антивирус ...
:nottosleeпонятненько....
у вас тут конечно очень хорошо... но лучше не иметь нужды к вам обращаться ;)!
но у меня тут опять вопрос :( созрел! я запустила касперского сделала полную проверку всего компа и у меня (при включеном каспере) перестал запускаться Exploler :(. Выключаю каспера - все нормально. вот и сейчас пришлось выключить каспера, чтобы вам написать. иииииии...... КАК БЫТЬ!? ПОМОГИТЕ! ПЛИЗЗЗЗЗЗЗ........ :help::stars::plach: Вся надежда на вас :pray:!!!!!
В логах помимо Каспера еще видны куски Симантека и даже Панды. Надо бы это зачистить... Сейчас напишу скрипт.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Вот скрипт, выполните его в безопасном режиме:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
BC_DeleteSvc('PavPrSrv');
ExecuteSysClean;
ExecutRepair(5);
ExecutRepair(6);
ExecutRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
а как это в безопасном режиме?
[quote]а как это в безопасном режиме?[/quote]
[url]http://virusinfo.info/showthread.php?t=9279[/url]
Когда включает компьютер, давите F8. Если попадете, то высветится меню с вариантами. Надо выбрать там "Safe Mode" или "защищ. режим".
В "Панели управление" "установка и удаление программ" посмотрите не осталось ли там остатков Панды и Симантека. Если что-то осталось, то деинсталлировать.
спасибо! буду действовать :)!
[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]
в безопасном режиме не удалось выполнить скрипт :(.
пишет:
Ошибка скрипта: Undeclared identifier: 'ExecutRepair', позиция [11:13]
В "установка и удаление программ" ничего не нашла, ни Панды, ни Симантека.
При запуске Exploler каспер выдает сообщение:
! ПРОАКТИВНАЯ ЗАЩИТА
попытка загрузки нового или измененного модуля
MSOXMLMF.DLL
подозрительное действие:
integrity vidation
процесс (PID:2976)
C:\Program Files\Internet Explorer\iexplorer.exe
предлагает действия:
-разрешить
-запретить
-добавить в общий список
Поправил. Можно выполнять.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
BC_DeleteSvc('PavPrSrv');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Библиотечка для The Microsoft Office XML MIME filter, так что можно разрешить.
скрипт выполнила!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Exploler не хочет грузится когда каспер работает... :(
я в шоке
какие-то проблемы остались ?
так в том то и дело, что я не могу зайти в интернет, когда работпет касперский, отключаю его и только тогда могу зайти на ваш форум :(
1. В AVZ сделайте: AVZPM - Установить драйвер. Перезагрузитесь.
2. Отключите Касперского, запустите IE и сделайте лог п.10 правил.
:pray:помогите! ПОЖАЛУЙСТА!!!!
нельзя же без антивируса в интеренете лазить :(
установила драйвер, перезагрузилать, отключила касперского, запустила IE и сделала лог:
Мистика! Ничего подозрительного нет...
А что происходит, если вначале запустить IE, а потом Каспера?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
И на всякий случай уточняю: при запущеном Касперском IE вообще не запускается? Или запускается, но не открывает страницы в Интернете?
при запущеном Касперском запускаю IE - появляется окно, но нет адреса в адресной строке, и просто белое поле. нажимаю на ссылки в избранном - ничего не происходит, обновляю страницу - тоже ничего :(
у вас КИС ... добавте правило для IE в сетевой экран ...
если вначале запустить IE, а потом Каспера - то все работает!
вот и сейчас я пишу со включенным Касперским...
Касперский проверяет копм...
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
а почему наоборот не работает? ;/
действительно мистика :)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
не поняла :/
про "у вас КИС ... добавте правило для IE в сетевой экран ..." подробнее пожалуйста :)
в антихакере создайте правило ... что бы он выпускал браузер в сеть ....
что-то я не понимаю :(
где это антихакер?
и где создать это правило?
ГДЕ ЭТО ВСЕ????? у меня уже мозг кипит ;), видимо не по мне задача :( уф.......
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
:plach:не женское это дело :(
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
я :262:
Надо найти Касперского (иконка около часиков в нижнем углу)
Далее настройка--антихакер--настройка--правила для приложений--добавить IE.
:pray::pray::pray::help:ПОМОГИТЕ!!!!! ПОЖАЛУЙСТА!!!!!!!!
[URL="http://www.kaspersky.ru/docs?downlink=206910065"]инструкции к кис[/URL]
о боги!
у меня не Kaspersky Internet Security 7.0,
а Касперский антивирус 7.0, это же не одно и тоже?
Это не одно и то же, вестимо ;)
Тогда попробуйте добавить Антивирус Касперского в список исключений брандмауера Windows.
уф... это как?
[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]
я юна и неопытна :), мне нужна ваша помощь :)!
Панель управления - Сетевые подключения
Открываем свойства вашего подключения к Интернету.
Вкладка Дополнительно - в рамочке "Брандмауэр Windows" кнопка Параметры.
Вкладка Исключения - кнопка Добавить программу...
запустите антивирус .... настройка(кнопка внизу слева) .... проактивная защита ... уберите галку напротив - включить анализ активности ....
во Вкладке "Дополнительно" - одно большое сообщение:
Windows не удается вывести свойства этого подключения.
Возможно, данные инструментария управления Windows (WMI) повреждены. Чтобы исправить это, воспользуетесь средством "Востановления системы" для восстановления предыдущего состояния Windows (возврата к точке восстановления).
Далее написано где находится средство "Востановление системы"...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
уберала галку напротив - включить анализ активности...
новое окно IE не открывается :(.
Т.е. в этом (где сейчас пишу) окне я могу лазить куда угодно, а новое открыть не могу :(
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Зашла в "ПАНЕЛЬ УПРЕВЛЕНИЯ" - "БРАНДМАУЭР WINDOWS"
во вкладке ДОПОЛНИТЕЛЬНО написано:
Параметры сетевого подключения повреждены. Для исправления нажмите кнопку "ПО умолчанию". При этом будут удалены все параметры настройки брандмауэра WINDOWS, что может привести к неработоспособности некоторых программ.
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
что же мне делать? помогите!!!!!
[QUOTE]Для исправления нажмите кнопку "ПО умолчанию".[/QUOTE]
...
а как же быть с тем, что это может привести к неработоспособности некоторых программ?
восстановление системы должно быть включено при этом?