Я опять к вам за помощью. НОД32 не нашел вирусы. А комп стал тормозить и не выключается. Помогите, пожалуйста.
Printable View
Я опять к вам за помощью. НОД32 не нашел вирусы. А комп стал тормозить и не выключается. Помогите, пожалуйста.
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\b4fm.dll','');
QuarantineFile('E:\Documents and Settings\Альфия\2216318.dll','');
QuarantineFile('E:\WINDOWS\winhp32.exe','');
QuarantineFile('E:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('e:\docume~1\f792~1\locals~1\temp\winlogon.exe','');
DeleteFile('e:\docume~1\f792~1\locals~1\temp\winlogon.exe');
DeleteFile('E:\Documents and Settings\Альфия\2216318.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2
и повторите логи
Я очень извиняюсь, а как залить содержимое папки сегодняшнего числа? У меня там файлы со странным расширением.
"Архивировать карантин" опция называется.
Спасибо, я уже поняла и отправила.
Один не попался. Остальное смотрим.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\winhp32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Все сделала и выслала.
Опять не попался. :(
Попробуйте в AVZ найти его в "Поиске файлов", добавить в карантин и прислать.
А как его найти в АVZ?
Хотел сразу ссылку дать, да поленился искать :)
[url]http://virusinfo.info/showthread.php?t=4567[/url]
А по-простому "Сервис" -- "Поиск файлов на диске" -- если найдется, есть кнопочка добавить в карантин.
Файл не нашелся. :(((
E:\WINDOWS\system32\swmclip.dll - Trojan-PSW.Win32.WebMoner.l
(новый! надо полагать, крадет пароли Webmoney)
e:\docume~1\f792~1\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Small.du
(тоже свеженький, его уже прибили)
"Неуловимый" скорее всего отсутствует.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\swmclip.dll');
DeleteFile('E:\WINDOWS\winhp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи п.10 и 12 правил.
Очередная попытка.
В AVZ включить AVZPM (установить драйвер). Перезагрузиться.
Затем поискать в AVZ E:\WINDOWS\winhp32.exe.
Ссылочка для уточнения, почему нужен этот файл.
[url]http://www.sophos.com/security/analyses/trojclckrky.html[/url]
ОК. Выполните вначале совет [B]PavelA [/B].
Ничего опять не нашлось.
И где я это новье нацепляла? Вроде осторожно общалась с людьми.
@Bratez
Думаю, надо попробовать удалить этого неуловимого Джо.
Виден это файл только при подавлении руткитов. Не верится мне, что это от какого-то легального софта.
Кстати, как у Вас на машине два файерволла уживаются. Наверное, надо одного оставить. Это задачка, правда, уже на потом.
Буду рада, если Вы попробуете помочь поймать этого Джо.
А я и не знала, что у меня 2 файерволла стоят. Я один снесла, и сегодня поставила другой.
[QUOTE]Буду рада, если Вы попробуете помочь поймать этого Джо.[/QUOTE]
Судя по последним логам, мой скрипт из #12 выполнен успешно, так что "Джо" уже Вас покинул... Осталось пофиксить в HijackThis:
[code]
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - E:\Documents and Settings\Альфия\2216318.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O21 - SSODL: VStorage - {D0DEA98A-2E75-4479-A3FE-3B0B1DE4642B} - swmclip.dll (file missing)
[/code]
@Bratez Я в этом не уверен. Он не был виден ни в логе HJ, ни в логе без подавления руткитов.
@Alfiya Выполните, плс, п.8 Правил. Это стандартный скрипт №3
Приложите лог для моего спокойствия. :)
Отправила файл.
Я доволен. Файла в логе нет.
Остался только в автозапуске "outpost.exe". Его можно профиксить в HijackThis.
[CODE]O4 - HKLM\..\Run: [Outpost Firewall] E:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice[/CODE]
Спасибо вам большое!!!