NOD постоянно выдает предупреждение:
a variant of Win32/Injector.BGQ trojan connection terminated
Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
Printable View
NOD постоянно выдает предупреждение:
a variant of Win32/Injector.BGQ trojan connection terminated
Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.
Активную ссылку уберите!
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\termsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\mtct.kio','');
DeleteFile('C:\WINDOWS\system32\mtct.kio');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1715567821-1214440339-725345543-1007\Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1715567821-1214440339-725345543-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
Предварительно запустила zbotkiller, логи соответственно поменялись. Гляньте, пожалуйста
[QUOTE=DefesT;618708]Пришлите карантин по ссылке согласно правил [COLOR=DarkRed][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.[/QUOTE]
Карантина нет...
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe mtct.kio skvskh
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mtct.kio');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\system32\mtct.kio');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Карантин мой Nod32 забрал в свой карантин - файл-то я восстановила, но по правилам запаковать его не получается. Можно просто заархивировать dta-файл?
Скрипт выполнила, новые логи сделала.
[QUOTE=Isa_1975;620264]Можно просто заархивировать dta-файл?
[/QUOTE] можно и отправить
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]такой лог [/URL].
Отправила карантин.
Сделала новый лог.
1. удалить в MBAM
[CODE]
Зараженные модули в памяти:
c:\WINDOWS\system32\termsrv.dll (Trojan.Patched) -> No action taken.
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice (Trojan.Patched) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\termsrv.dll (Trojan.Patched) -> No action taken.
[/CODE]
2. - [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\WINDOWS\system32\termsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\Crypt.dll ','');
QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные лог MBAM
У меня XP работает в качестве терминального сервера. termsrv.dll - это как раз именно то, что нужно. Хотя не спорю, может быть файл и заражен. Если я его удалю, какие могут быть последствия?
Не удаляйте его. Выполните скрипт AVZ, карантин закачайте
Удалила в MBAM все, кроме termsrv.dll
Запустила скрипт в Avz - карантин выслать не получается, пишет "ошибка загрузки, данный файл уже был загружен"
Как мне его пропихнуть?
C:\WINDOWS\system32\termsrv.dll замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
[CODE]C:\WINDOWS\system32\Crypt.dll
C:\WINDOWS\Prefetch\EXPLORER.EXE[/CODE]Заархивируйте вручную с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[QUOTE=thyrex;621121]
[CODE]C:\WINDOWS\system32\Crypt.dll
C:\WINDOWS\Prefetch\EXPLORER.EXE[/CODE]Заархивируйте вручную с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
Недопоняла, а куда этот код вставлять?
Указанные файлы заархивируйте и пришлите
[B]thyrex[/B], заархивировала - карантин выслала
Файлы в порядке
Обновляйте систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
[QUOTE=thyrex;621697]Файлы в порядке[/QUOTE]
А termsrv.dll надо заменять? Или пусть остается?
Вам ведь была выдана рекомендация заменить его. Вы ее выполняли?
[B]vegas[/B], заменила на чистый файл
Старый нужен в карантин?