Собственно сидит чего-то. Симантек говорит троян.пандекс вроде бы удаляет, потом опять появляется. И ещё про руткит и хактул ругается и инфостилер. Вобщем полный винегрет.
Собственно сидит чего-то. Симантек говорит троян.пандекс вроде бы удаляет, потом опять появляется. И ещё про руткит и хактул ругается и инфостилер. Вобщем полный винегрет.
У вас старая версия AVZ, скачайте 4.27.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WIN_XP\system32\сsrss.exe',''); QuarantineFile('C:\WIN_XP\system32\winsos.exe',''); QuarantineFile('C:\WIN_XP\system32\winsn.exe',''); QuarantineFile('C:\WIN_XP\system32\syst80.dll',''); QuarantineFile('C:\WIN_XP\system32\shovth.exe',''); DeleteFile('C:\WIN_XP\system32\syst80.dll'); DeleteFile('C:\WIN_XP\system32\winsn.exe'); DeleteFile('C:\WIN_XP\system32\winsos.exe'); DeleteFile('C:\WIN_XP\system32\сsrss.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.
Добавлено через 5 минут
Забыл добавить: похоже, у вас восстановление системы не отключено. Отключите его перед выполнением вышесказанного.
Последний раз редактировалось Bratez; 13.11.2007 в 14:08. Причина: Добавлено
I am not young enough to know everything...
Карантин отправил. Логи сейчас сделаю.
AVZ и базы обновил.
Восстановление системы было отключено.
Trojan-Spy.Win32.KeyLogger.rp C:\WIN_XP\system32\winsn.exe
Trojan-Spy.Win32.KeyLogger.rp C:\WIN_XP\system32\shovth.exe
Логи сделал. Симантек по прежнему находит Пандекс и ещё что-то.
Выполнить
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('c:\win_xp\system32\shovth.exe'); QuarantineFile('C:\WIN_XP\system32\сsrss.exe',''); DeleteFile('C:\WIN_XP\system32\winsn.exe'); QuarantineFile('C:\WIN_XP\system32\winsos.exe',''); DeleteFile('C:\WIN_XP\system32\сsrss.exe'); BC_DeleteFile('C:\WIN_XP\system32\сsrss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать доп. лог из раздела "Чаво" в защищ. режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ОТКЛЮЧИТЕ восстановление системы!
В логах видны файлы C:\System Volume Information\_restore****** и подобные
это проделайте ...
повторите логи... + лог о котором говорил PavelA ...
C:\System Volume Information\_restore****** видимо остались от предыдущей инсталляции Windows.
Выполните такой скрипт:
Пришлите карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe',''); DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001963.EXE'); DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001987.EXE'); DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0004556.com'); DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002001.COM'); DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002388.COM'); DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002601.COM'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
При выполнении последнего скрипта АВЗ повис и больше не запускается. Говорит нет прав доступа.
Карантин после скрипта PavelA выслал, лог в безопасном режиме тоже.
Ладно, оставим в покое эти restore, они не опасны, т.к. к вашей системе не принадлежат.
Вот этот файл вам знаком? -
C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe
Если не уверены в его безопасности, выполните скрипт:
и пришлите карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
http://virusinfo.info/showthread.php?t=10387 - вот такой лог нужно сделать и прикрепить сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал. Лог в безопасном режиме сейчас сделаю.
Симантек по прежнему при каждой перезагрузке находит "инфостилер".
Добавлено через 1 минуту
Папку с game0.exe удалил совсем. Не нужна.
Последний раз редактировалось Autocom; 14.11.2007 в 16:15. Причина: Добавлено
Файл в карантин не попал, ждем лог
Майлрушный агент установлен? В нем часто Симантек находит инфостеалер.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да агент установлен.
Лог в безопасном режиме прилагаю.
Кстати сейчас autorun.inf вроде больше не появляются.
И раньше сам-собой исчезал просмотр скрытых файлов.
Теперь нет не исчезает.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys'); BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys'); BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys'); BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys'); BC_QrSvc('ntosnh'); BC_QrSvc('ntoss'); BC_DeleteSvc('ntosnh'); BC_DeleteSvc('ntoss'); BC_Activate; RebootWindows(true); end.
Выполнить скрипт:
Если что-то попадет в карантин, то прислать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WIN_XP\system32\drivers\ntoss.sys',''); QuarantineFile('C:\WIN_XP\system32\drivers\ntosnh.sys',''); BC_DeleteFile('C:\WIN_XP\system32\drivers\ntosnh.sys'); BC_DeleteFile('C:\WIN_XP\system32\drivers\ntoss.sys'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
В Симантеке можно настроить "Исключения" чтобы он не ругался на библиотеку от Агента.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Autocom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.