Комп постоянно перезагружается и требует проверку диска

**V_Bond** · 15.12.2007, 14:20

_install.exe -пришлите поправилам ....

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 15.12.2007, 14:21

Сообщение от Natrix

Остался неработающий MySQL сервер

Последствия скрипта, от которого не должно быть хуже. Поможет переустановка MySQL.

**Natrix** · 15.12.2007, 14:42

Отправила одну копию файла из 144

**V_Bond** · 15.12.2007, 14:57

_install.exe -Trojan.Packed.252 удаляйте ...
и выполните пункт 2 правил ....

**Natrix** · 15.12.2007, 15:10

Удалила.

Сообщение от V_Bond

и выполните пункт 2 правил ....

Не смотря на то, что у меня Др.Веб?

**V_Bond** · 15.12.2007, 15:13

а он у вас обновляется ? не похоже ...

**Natrix** · 15.12.2007, 15:17

Странно... Регулярно пишет: вирусные базы обновлены.

**V_Bond** · 15.12.2007, 15:19

ничего не помаю ... вы проводили полное сканирование ? версия у вас какая ?

**Bratez** · 15.12.2007, 15:28

Др.Веб, говорите? А как вам такой факт, что вместо системной службы sessmgr.exe у вас не что иное как Trojan-Downloader.Win32.Small.hdl?? Попутно, извиняюсь, вопрос коллегам - карантин для А.С.Пушкина присылается? Вот эти скорее всего тоже не родные:

Код:

O23 - Service: Локатор удаленного вызова процедур (RPC) (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe
O23 - Service: RSVP - Unknown owner - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Смарт-карты (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VSS - Unknown owner - C:\WINDOWS\System32\vssvc.exe

Сейчас напишу далее...

Добавлено через 7 минут

Давайте всех "ненаших" соберем, чтоб уж наверняка:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\vssvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\tlntsvr.exe','');
 QuarantineFile('C:\WINDOWS\system32\smlogsvc.exe','');
 QuarantineFile('C:\WINDOWS\System32\SCardSvr.exe','');
 QuarantineFile('C:\WINDOWS\system32\rsvp.exe','');
 QuarantineFile('C:\WINDOWS\system32\locator.exe','');
 QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
 QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe','');
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
 QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин по правилам.

**Natrix** · 15.12.2007, 19:11

Карантин отправлен. Др.Веб чего-то обнаружил и вроде вылечил.

Добавлено через 40 секунд

По крайней мере перестал требовать проверку диска.

Добавлено через 1 минуту

Вспомнила еще проблему. Не снималась галочка отключения восстановления системы.

**V_Bond** · 15.12.2007, 19:44

в карантине .....
C:\WINDOWS\System32\vssvc.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\smlogsvc.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\tlntsvr.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\System32\SCardSvr.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\locator.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\netdde.exe W32/Malware
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe TR/Crypt.XPACK.Gen
sessmgr.exe Trojan-Downloader.Win32.Small.hdl
C:\WINDOWS\system32\clipsrv.exe Gen W32/Malware
нужно менять на чистые ....

**Natrix** · 15.12.2007, 20:06

Как это сделать? Простите, но в этих вопросах я не разбираюсь

Добавлено через 1 минуту

Сделала проверку системного диска. Обнаружено 12 зараженных объектов. Просто удалить их из Др.Веба?

Добавлено через 13 минут

Плюс еще все что в папках avz/infected и avz/quarantine/

**V_Bond** · 15.12.2007, 20:17

нужно сделать проверку всех дисков на компьютере ....
перепешите нужные файлы с другого (заведомо чистого) компьютера ... и перезапишите их на место подмененных (операцию проводите в safe mode)

**Natrix** · 15.12.2007, 20:26

То есть сначала все проверить, удалить все что найдет, потом перезаписать файлы? Или наоборот?

**V_Bond** · 15.12.2007, 20:30

лучше так ...

**Natrix** · 16.12.2007, 13:25

Всех заменила. Что дальше?

**Bratez** · 16.12.2007, 13:51

Сделайте логи еще раз, будем надеяться - последний

**Natrix** · 16.12.2007, 15:40

Вот они. Что есть подозрение на Email-Worm.Win32.Warezov.ra?

**V_Bond** · 16.12.2007, 15:50

выполните скрипт ....

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\pdbcopy.exe','');
 QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('protect');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ..