-
Junior Member
- Вес репутации
- 58
Не могу избавиться от завирусованных файлов!
NOD стал выдавать сообщения, типа: что файл c:\windows\system32\drivers\services.exe пытается скачать файл заражённый Win32/Statik.
В реультате проверок и поисков было обнаружено, что имеются некие файлы ftp34.dll (аж 3 в разных местах) которые при проверке NODом определяются, как трояноносители и отправляются в карантин. Их можно удалить и вручную. Но после перезагрузки - они на месте.
Помогите, пожалуйста!
Последний раз редактировалось risla; 14.01.2009 в 11:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKUS\S-1-5-18\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'Default user')
O4 - Startup: userinit.exe
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe','');
QuarantineFile('C:\Documents and Settings\vasilieva\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
QuarantineFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe','');
DeleteFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\vasilieva\svchost.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe');
BC_ImportDeletedList;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('apcsvra32');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24394).
Удалите временные файлы IE через "Свойства обозревателя".
Очистите папку C:\WINDOWS\Temp.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Карантин отправил.
Новые логи прилагаю.
Но загрузка уже идёт нормально и файлы пропали.
Последний раз редактировалось risla; 14.01.2009 в 11:51.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('apcsvra');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Повторите лог по стандартному скрипту 2.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Повторите лог по стандартному скрипту 2.
Прошу прощения, можно чуточку подробнее.
-
Сообщение от
risla
Прошу прощения, можно чуточку подробнее.
Правила пункт 10
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Правила пункт 10
Значит я понял верно, но сомневался
Последний раз редактировалось risla; 14.01.2009 в 11:51.
-
Антивирус во время выполнения скрипта нужно вылкючать.
Найдите с помощью АВЗ (правила приложение 2) файл apcsvra.sys и пришлите (правила приложение 3)
Еще один скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('apcsvra.sys','');
DeleteFile('apcsvra.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Карантин закачайте, лог по п.10 повторите.
-
-
1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq
apcsvra.dll - Trojan.Win32.Pakes.cot,
ftp34.dll - Trojan-Downloader.Win32.Agent.nsx
services.exe, svchost.exe1, svchost.exe, userinit.exe - P2P-Worm.Win32.Socks.ea
VNCHooks.dll - чистый
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Антивирус во время выполнения скрипта нужно вылкючать.
Выключал
Найдите с помощью АВЗ (правила приложение 2) файл
apcsvra.sys и пришлите (правила приложение 3)
Не нашёл его. Поиск выдал: ошибка прямого доступа к файлу. Посмотрел в проводнике - нету.
Карантин закачайте, лог по п.10 повторите.
Скрипт выполнил. Лог прилагаю. Карантин закачиваю.
Последний раз редактировалось risla; 14.01.2009 в 11:51.
-
В логах чисто. Какие проблемы остались?
-
-
Junior Member
- Вес репутации
- 58
Вроде бы нет Спасибо огромное за решение проблемы!
-
Систему обновить в ближайшее время необходимо
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer
v6.00 SP2 (6.00.2900.2180)
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\k9yn0de3\\1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq (DrWEB: Trojan.Fakealert.745)
- c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
- c:\\documents and settings\\vasilieva\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
- c:\\documents and settings\\vasilieva\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
- c:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302
- c:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
- c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)
-