Printable View
Здравствуйте!:-)
Возникла такая неприятная проблема.
Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
Все пунты Правил выполнил.
Отключитесь от сети.
Закройт все программы. Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SearchRootkit(true, true);
QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(false);
end.[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
Скрипт выполнил и закачал карантин.
Жду от Вас вестей. :)
ntos.exe - [B]Trojan-Spy.Win32.Bancos.aam[/B].
Как я понимаю, мне надо удалить этот файл, да?:)
Его уже удалили. Это просто к сведению.
Просто дело в том, что SAV, всё равно, выдаёт этот вирус :?
12520437b.exe - [B]Backdoor.Win32.IRCBot.abc[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe[/CODE]Повторите логи.
Спасибо, сейчас выполню указания.
Всё выполнил!Вот новые получившиеся логи.
Что можете сказать, док?:)
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('SCardSvrERSvc');
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,[/CODE]Повторите логи.
Вот, какие логи получились в этот раз. По-моему, всё чисто. :)
Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.
Будет сделано! :-)
Удалил указанный вами файл. Вот лог. :)
Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?
:)Нет, ничего такого не имеется.
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.
к сожалению, остатков нет :'-(
У вас есть дистрибутив Windows XP SP2?