Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите убить Backdoor.win32.small.os (заявка № 9725)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62

    Thumbs up Помогите убить Backdoor.win32.small.os

    Здравствуйте.
    Касперский обнаруживает этот вирус, но вылечить не может. Постоянно создается файл perfc000.dat и параметр (не помню как называется) в реестре для его автозагрузки. Сейчас добавилась и еще одна проблема: загрузка ЦП процессом рнр.ехе, которых появляется 5-10 экземпляров.

    PS: старалась четко следовать правилам. Пожалуйста, если не трудно, опишите нужные мне действия поподробней - я в этом вопросе чайник .
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\NVCPL.DLL','');
     QuarantineFile('C:\WINDOWS\system32\repl.dll','');
     QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
     QuarantineFile('c:\windows\winlogon.exe','');
     QuarantineFile('c:\windows\smss.exe','');
     QuarantineFile('c:\windows\dsrss.exe','');
     DeleteFile('c:\windows\smss.exe');
     DeleteFile('c:\windows\winlogon.exe');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
     DeleteFile('C:\WINDOWS\dsrss.exe');
    ExecuteSysClean;
    ExecuteRepair(13);
    RebootWindows(false);
    end.
    После выполнения, система перегрузится.
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.

  4. #3
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Карантин отправила. Хочу заметить, что после выполнения скрипта компьютер не перезагрузился. Пришлось нажать ресет. Это нормально?
    Еще вспомнила такие проблемы: не загружался безопасный режим и неработала автоматическая авторизация на форумах. Это тоже связано с вирусами?
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Natrix Посмотреть сообщение
    Хочу заметить, что после выполнения скрипта компьютер не перезагрузился.
    Это хорошо . Не хорошо, однако, не выполнять правила в точности: При выполнении логов нужно выключать все приложения, кроме АВЗ.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('\??\repl.dll');
     BC_DeleteFile('\??\repl.dll'); 
     DeleteFile('\??\swmclip.dll');
     BC_DeleteFile('\??\swmclip.dll'); 
     DeleteFile('\??\dsrss.exe');
     BC_DeleteFile('\??\dsrss.exe'); 
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки повторите логи по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Извиняюсь за нарушение. Если опять что не так, ткните, пожалуйста, конкретно А то так и не пойму в чем дело.
    Мне добавилась новая проблема. Мой провайдер сказал, что с моего адреса идут дос-атаки на сервер. Help!!!
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  7. #6
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Возникли сомнения. При выполнении ваших скриптов восстановление системы должно быть все еще выключено? Если да, то когда его нужно включать и надо ли мне запустить скрипт еще раз?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Восстановление системы должно быть выключено.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file)
    O2 - BHO: Hook Class - {DBA0F35F-BCD6-4602-863A-96893E4DE018} - C:\WINDOWS\system32\repl.dll (file missing)
    O21 - SSODL: VStorage - {ED20A579-49F4-41A4-A30C-7336A9383EDC} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
    QuarantineFile('C:\WINDOWS\system32\ati2sgag.exe','');
    QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
    QuarantineFile('C:\WINDOWS\winlogon.exe','');
    QuarantineFile('C:\WINDOWS\system32\muid.exe','');
    QuarantineFile('C:\WINDOWS\system32\exportl.exe','');
    QuarantineFile('C:\WINDOWS\system32\12520850h.exe','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Карантин отправила

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Не очень удачно. Выполните еще этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe','');
    QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
    I am not young enough to know everything...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Плюс вот такой скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\repl.dll','');
     BC_DeleteFile('C:\WINDOWS\system32\repl.dll');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(false);
    end.
    После выполнения, система перегрузится.
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.

  12. #11
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    После перезагрузки пришлите новый карантин, если конечно он не окажется пустым.
    Карантин отправлен.

  13. #12
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Цитата Сообщение от Muffler Посмотреть сообщение
    После перезагрузки, отправте карантин AVZ нам по правилам.
    И повторите п. 10-14 из правил.
    Готово.
    Последний раз редактировалось Natrix; 15.12.2007 в 13:12.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\LogWatNT.exe

    Поищите вручную эти два файла.
    Но если Вы скажете, что их нет, а проблема остается - тогда я пас
    I am not young enough to know everything...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что ж такое, опять старый ati2sgag.exe, а эти два не хотят!
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\LogWatNT.exe

    Поищите вручную эти два файла.
    Но если Вы скажете, что их нет, а проблема остается - тогда я пас
    Скорее всего они в базе безопасных...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Natrix, узнайте у провайдера, есть ли ещё дос атаки с вашего IP.
    Если нет, значит больше зверей в системе нет.
    Также, измените все пароли(email, icq и т д).

    Вот список того что было найдено и убито у вас в системе:
    Backdoor.Win32.Small.os
    Trojan-Spy.Win32.Webmoner.ce,
    Trojan-Proxy.Win32.Procin.j,
    Trojan-Spy.Win32.Sters.an,
    Trojan-Spy.Win32.KeyLogger.lp
    +
    последний был скорее всего Trojan.Win32.Agent.agx

  17. #16
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Да, эти файлы есть.

  18. #17
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Какой огромный список! Огромное спасибо!
    Атак сейчас вроде нет.
    А то, что эти файлы остались не страшно? И perfc000.dat по-прежнему присутствует.
    Восстановление системы можно включать?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility for WindowsNT and Windows9X
    C:\WINDOWS\LogWatNT.exe - belongs to the software Computer Associates LogWatNT

    perfc000.dat - удалите вручную...

    Проверте загрузку системы в SafeMode. Если не загружается, тогда выполните вот такой скрипт:

    Код:
    begin
     ExecuteRepair(10);
    end.
    После этого можна включить восстановление системы.

  20. #19
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    96
    Вес репутации
    62
    Файл удалила. Два первых тоже надо удалить?
    Скрипт выполнила, но не помогло

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Два первых тоже надо удалить?
    Не надо!

  • Уважаемый(ая) Natrix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. backdoor.win32.small.cyb
      От Antonn в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:05
    2. Backdoor.Win32.Small.czo
      От Алексей Романов в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2008, 11:23
    3. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 16:50
    4. Backdoor.win32.small.os с чем его едят ?
      От Celamoi в разделе Вредоносные программы
      Ответов: 18
      Последнее сообщение: 16.05.2007, 19:59
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00145 seconds with 19 queries