Ndis - Trojan.Spamdes!inf (по Симантеку), патченный. Лечение его не прошло. Надо повторить.
Printable View
Ndis - Trojan.Spamdes!inf (по Симантеку), патченный. Лечение его не прошло. Надо повторить.
Извиняюсь, забыл еще одного зверька обработать ;)
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
DeleteFile('C:\WINDOWS\System32\t0.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Новый карантин загрузите по правилам, и логи еще раз придется сделать.
[quote=Bratez;137246]Извиняюсь, забыл еще одного зверька обработать ;)
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Новый карантин загрузите по правилам, и логи еще раз придется сделать.[/quote]
вобщем делаю этот скрипт, плюс скрипт предложенный выше:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
И высылаю карантин с файлом NDIS. + 3 новых лога. Так?
И еще: выше написал - t0.dll не удаляется зараза.
Минутку, я изменю скрипт...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Готово, выполняйте.
Также там с ним в этой же папке и блокнотовский файл t0
Толже в скрипте дописать строчку наверное надо. Он вроде бы с dll-ловским появляется. Файл *.ini
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
После выполнения скрипта
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.s ys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end
Карантин пустой. :?
Удаление скриптом файла t0.dll и t0.ini прошло успешно. Это хорошо. Только как узнать - была ли эта основная часть вируса или это не главное. Или вирус может представлять собой такой файл dll и только? Подскажите, пожалуйста.
PS логи после проделанных двух последних скриптов делаю...скоро будут
Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.
Новые логи, конечно, тоже нужны.
ВОт новые логи.
Карантин был пустой - а сейчас безобидный, по моему мнению, файл программы Punti Switcher. Посмотрите их, пожалуйста
А из всего зверинца что был остался 1 вирус получается?
[quote=PavelA;137271]Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.
Новые логи, конечно, тоже нужны.[/quote]
Т оесть вирус подменил это тфайл драйвера своим?
В логах больше ничего подозрительного нет.
Можете выключить и удалить службу Reset 5 - это кряк от SP1, в SP2 смысла не имеет.
[quote=PavelA;137271]Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.
Новые логи, конечно, тоже нужны.[/quote]
[URL]http://www.virustotal.com/ru/resultado.html?2e1b80c31fa4195e41a979c65ae3c493[/URL]
все чисто. Файл восстановлен данной мне прогой?
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
[quote=Bratez;137283]В логах больше ничего подозрительного нет.
Можете выключить и удалить службу Reset 5 - это кряк от SP1, в SP2 смысла не имеет.[/quote]
Как это сделать? Просто я такого не видел.
ПС тихо, не палите с кряком ;)
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
И еще: у меня пофиксен с помощью HJ файл систем32/userinit.exe (не помню, кто-то из вас сказал так сделать) его так там и оставить висеть пофиксенным?
[quote]Как это сделать?[/quote]
Открыть окно командной строки и набрать:
[b]sc stop "reset 5"
sc delete "reset 5"[/b]
(именно так, с кавычками, после каждой строки нажать Enter).
вы фиксили ...
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
все верно ...
[quote=Bratez;137298]Открыть окно командной строки и набрать:
[B]sc stop "reset 5"[/B]
[B]sc delete "reset 5"[/B]
(именно так, с кавычками, после каждой строки нажать Enter).[/quote]
как вы его обнаружили? Он в логах светился?
[quote=V_Bond;137300]вы фиксили ...
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
все верно ...[/quote]
Ок, оставляю все как есть
[QUOTE=Dev!L*;137302]как вы его обнаружили? Он в логах светился?[/quote]
См. лог HijackThis
Спасибо всем огромное, надеюсь на этом проблемы окончатся. Как я понял, туперь AVZ и HJ у меня пусть остаются на компе.
Последнее - какой антивирус или мб просто прогу поставить против пободной дряни? Просто за эту неделю перепробоавал кучу анти-spyware прог и не все находили. А кто находил - удалял а потом заново начиналось.
ВОбщем что лучше всего поставить, чтоб обновлять можно было регулярно через инет.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\cd1041.nls - [B]Trojan-Proxy.Win32.Pixoliz.na[/B] (DrWEB: Trojan.Spambot.2470)[*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Agent.x[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]