как лечить trojan nsanti packed

Printable View

05.09.2008, 20:02
studentmtk

как лечить trojan nsanti packed

помогите вылечить эту херню
05.09.2008, 20:08
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\nideiect.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\nideiect.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\WINDOWS\system32\winsys2.exe','');
QuarantineFile('E:\WINDOWS\system32\amvo0.dll','');
DeleteFile('E:\WINDOWS\system32\amvo0.dll');
DeleteFile('E:\WINDOWS\system32\winsys2.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\nideiect.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\nideiect.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
05.09.2008, 21:01
studentmtk

логи и карантин
05.09.2008, 21:11
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи логи со всеми флешками фотоаппаратами , мобилками и т,д ...
05.09.2008, 21:46
studentmtk

логи повторил,только не понял про фотики,флешки ,извиняюсь за тупость
05.09.2008, 21:55
V_Bond

>>>логи повторил,только не понял про фотики,флешки
все флеш накопители какие есть ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
DeleteFile('G:\nideiect.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
05.09.2008, 22:21
studentmtk

воткнул флешку и сделал логи
05.09.2008, 22:53
V_Bond

воспользуйтесь [url]http://virusinfo.info/showthread.php?t=16459[/url]
в логах ничего подозрительного ....
06.09.2008, 21:23
studentmtk

просканировал все диски Dr.web он нашел на не системном диске D:/System Volume Information вот это WIN.95.SK и есть инфицированные файлы. Дайте совет специалистов
06.09.2008, 22:05
V_Bond

отключите системное восстановление ... на не системных дисках ...
06.09.2008, 22:12
studentmtk

отключил,еще Dr.web нашел Adwer.SaverNow.origin
и в "моем компьютере" появились Веб-папки,
06.09.2008, 22:17
V_Bond

убрать веб папки ...
[code]
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
[/code]
06.09.2008, 22:24
studentmtk

код выполнил,параметр изменен,но папки остались.
06.09.2008, 22:27
V_Bond

перегрузиться вы конечно не догадались ...
06.09.2008, 22:39
studentmtk

спасибо за терпение папки исчезли,а как на счет Dr.web нашел Adwer.SaverNow.origin
06.09.2008, 22:46
V_Bond

ну нашел здорово , удалил замечательно ... вопрос где ...
06.09.2008, 22:50
studentmtk

вопрос:удаляет,а потом снова на ходит,и еще вопрос:что делать с инфицированными файлами
06.09.2008, 23:00
Rene-gad

Повторяю вопрос V_Bond: Где находит?
06.09.2008, 23:05
studentmtk

находит там же D:/System Volume Information
06.09.2008, 23:06
Rene-gad

[QUOTE=studentmtk;280164]находит там же D:/System Volume Information[/QUOTE]Прочитайте сообщение громко 10 вслух и сделайте то, что Вам полтора часа назад рекомендовали. И в правилах оно написано.
07.09.2008, 21:04
studentmtk

Спасибо за помощь,просканировал комп в безопасном режиме,предварительно отключил восстановление,удалил что Dr.web опознал,снова просканировал и вирусов не нашел,система работает без тормозов,еще раз ОГРОМНОЕ СПАСИБО!!!!!!!:>