Появился Downloader

Printable View

11.07.2007, 10:52
ghostil

Появился Downloader

Здравствуйте!:-)
Возникла такая неприятная проблема.
Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
Все пунты Правил выполнил.
11.07.2007, 11:26
AndreyKa

Отключитесь от сети.
Закройт все программы. Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SearchRootkit(true, true);
QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(false);
end.[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
11.07.2007, 11:42
ghostil

Скрипт выполнил и закачал карантин.
Жду от Вас вестей. :)
11.07.2007, 12:04
Макcим

ntos.exe - [B]Trojan-Spy.Win32.Bancos.aam[/B].
11.07.2007, 12:05
ghostil

Как я понимаю, мне надо удалить этот файл, да?:)
11.07.2007, 12:07
Макcим

Его уже удалили. Это просто к сведению.
11.07.2007, 12:08
ghostil

Просто дело в том, что SAV, всё равно, выдаёт этот вирус :?
11.07.2007, 12:12
Макcим

12520437b.exe - [B]Backdoor.Win32.IRCBot.abc[/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe[/CODE]Повторите логи.
11.07.2007, 12:14
ghostil

Спасибо, сейчас выполню указания.
11.07.2007, 12:36
ghostil

Всё выполнил!Вот новые получившиеся логи.
Что можете сказать, док?:)
11.07.2007, 12:43
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('SCardSvrERSvc');
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,[/CODE]Повторите логи.
11.07.2007, 13:04
ghostil

Вот, какие логи получились в этот раз. По-моему, всё чисто. :)
11.07.2007, 13:12
Макcим

Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.
11.07.2007, 13:18
ghostil

Будет сделано! :-)
11.07.2007, 13:23
ghostil

Удалил указанный вами файл. Вот лог. :)
11.07.2007, 13:32
Макcим

Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?
11.07.2007, 13:48
ghostil

:)Нет, ничего такого не имеется.

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
11.07.2007, 13:58
Макcим

А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.
11.07.2007, 14:06
ghostil

к сожалению, остатков нет :'-(
11.07.2007, 14:24
Макcим

У вас есть дистрибутив Windows XP SP2?
11.07.2007, 14:24
Numb

[quote=Maxim;121998]А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.[/quote]Никто, скорее всего, его не патчил, просто заплатки не устанавливаются. Текущая версия tcpip.sys - 5.1.2600.2892. Версия в карантине - 5.1.2600.2180. Файл обновляется в ходе установки обновления [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=17d997d2-5034-4bbb-b74d-ad8430a1f7c8"]KB884020[/URL] от 17.09.2004 , затем еще дважды как минимум ( [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=7bb21d74-c37b-472b-bb10-71d4680680a7"]KB913446[/URL] от 13.02.2006 и [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b62abe8e-4735-4934-a66e-5b957986efbf"]KB917953[/URL] от 12.06.2006). Вывод - рекомендуется включить автоматическое обновление.
11.07.2007, 14:51
ghostil

дистрибутива, увы, тоже нет

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
дистрибутива, увы, тоже нет
11.07.2007, 15:20
Макcим

Все нормально. Лечение окончено. На меня нашел приступ параноий :)

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!