-
Junior Member
- Вес репутации
- 62
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
касперский установлен же у вас(наверно криво), надо попробовать удалить стандартно.А также следы nod 32 .
Затем выполнить скрипт :
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\mk_\Мои документы\mk1 Мои документы\kaht2.rar','');
QuarantineFile('C:\Documents and Settings\Олег\Мои документы\Pocket_PC My Documents\A-311_102.rar','');
DeleteFile('C:\WINDOWS\system32\drivers\nod32drv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe');
DeleteFile('C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll');
DeleteFile('C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(12);
RebootWindows(true);
end.
wocfiba.exe и grnkl.exe третий файл meex.com - в логах нет, поэтому обязательно положить в карантин как указано в приложении 2 правил
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10223........
Последний раз редактировалось drongo; 07.06.2007 в 10:20.
-
-
Junior Member
- Вес репутации
- 62
сделал, увы но касперский так и не ставится (не запускается)...и также не возможно сделать скрытые\системные файлы видимыми
файл закачал..
Последний раз редактировалось mk_; 07.06.2007 в 13:25.
-
Это Virus.Win32.AutoRun.ao (по Касперскому).
Поищите следующие файлы:
C:\WINDOWS\system32\logon.bat
C:\WINDOWS\system32\config\autorun.inf
Если найдутся, пришлите по правилам.
P.S. А где карантин после скрипта drongo?
Его тоже пришлите!
I am not young enough to know everything...
-
-
http://www.viruslist.com/ru/viruses/...virusid=160221 - описание похожего зверька. Кстати, удаляет все mp3 файлы на всех дисках. Хорошо, что только в корзину.
Надо бы еще пароли сменить после Пинча.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Это
Virus.Win32.AutoRun.ao (по Касперскому)
я знаю...проверял...сам троян который определился как в названии темы...я похоже безвозвратно удалил
C:\WINDOWS\system32\logon.bat
C:\WINDOWS\system32\config\autorun.inf
таких нет
P.S. А где карантин после скрипта
drongo?
Его тоже пришлите!
прислал
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
мп3 файлы все на месте...пароли менять..? я его сразу заметил и фаервол не дал ему ничего отослать..
или береженого бог бережет?
-
Сообщение от
mk_
мп3 файлы все на месте...пароли менять..? я его сразу заметил и фаервол не дал ему ничего отослать..
или береженого бог бережет?
А что в корзине? В логе АВЗ там полно мр3-ков лежит.
Насчет паролей: ИМНО береженого бог бережет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
что то меня фаервол настораживает:
0:24:05 Недоступно ВХОД БЛОКИРОВАНО TCP 212.220.209.39 4677 Block incoming RPC (TCP)
23:00:19 Недоступно ВХОД БЛОКИРОВАНО UDP 86.202.186.2 4672 Пакет на закрытый порт
22:59:58 Недоступно ВХОД БЛОКИРОВАНО UDP 90.35.150.198 4672 Пакет на закрытый порт
23:02:58 Недоступно ВХОД БЛОКИРОВАНО UDP 83.23.208.168 4672 Пакет на закрытый порт
23:00:28 Недоступно ВХОД БЛОКИРОВАНО UDP 84.72.48.132 4672 Пакет на закрытый порт
23:00:04 Недоступно ВХОД БЛОКИРОВАНО UDP 217.19.215.12 4672 Пакет на закрытый порт
23:00:14 Недоступно ВХОД БЛОКИРОВАНО UDP 83.37.249.147 4672 Пакет на закрытый порт
23:00:02 Недоступно ВХОД БЛОКИРОВАНО UDP 71.111.77.242 4672 Пакет на закрытый порт
23:03:04 Недоступно ВХОД БЛОКИРОВАНО UDP 83.132.90.108 4672 Пакет на закрытый порт
22:59:58 Недоступно ВХОД БЛОКИРОВАНО UDP 83.190.206.129 4672 Пакет на закрытый порт
23:02:51 Недоступно ВХОД БЛОКИРОВАНО UDP 88.14.57.95 4672 Пакет на закрытый порт
23:03:11 Недоступно ВХОД БЛОКИРОВАНО UDP 82.50.72.216 4672 Пакет на закрытый порт
23:04:29 Недоступно ВХОД БЛОКИРОВАНО UDP 200.101.18.127 4672 Пакет на закрытый порт
23:05:06 Недоступно ВХОД БЛОКИРОВАНО UDP 24.232.54.159 4672 Пакет на закрытый порт
23:05:03 Недоступно ВХОД БЛОКИРОВАНО UDP 88.154.90.22 4672 Пакет на закрытый порт
23:04:58 Недоступно ВХОД БЛОКИРОВАНО UDP 90.35.150.198 4672 Пакет на закрытый порт
23:04:54 Недоступно ВХОД БЛОКИРОВАНО UDP 189.6.161.12 4672 Пакет на закрытый порт
23:04:53 Недоступно ВХОД БЛОКИРОВАНО UDP 82.51.161.124 4672 Пакет на закрытый порт
23:04:50 Недоступно ВХОД БЛОКИРОВАНО UDP 83.50.240.45 4672 Пакет на закрытый порт
23:04:47 Недоступно ВХОД БЛОКИРОВАНО UDP 151.75.242.214 4672 Пакет на закрытый порт
23:03:48 Недоступно ВХОД БЛОКИРОВАНО UDP 79.13.89.15 4672 Пакет на закрытый порт
23:04:43 Недоступно ВХОД БЛОКИРОВАНО UDP 83.40.232.22 4672 Пакет на закрытый порт
23:03:29 Недоступно ВХОД БЛОКИРОВАНО UDP 83.200.35.151 4672 Пакет на закрытый порт
23:04:25 Недоступно ВХОД БЛОКИРОВАНО UDP 151.33.86.82 4672 Пакет на закрытый порт
23:04:13 Недоступно ВХОД БЛОКИРОВАНО UDP 86.61.40.201 4672 Пакет на закрытый порт
почему то не определяется процесс который ломиться...
-
Junior Member
- Вес репутации
- 62
-
Junior Member
- Вес репутации
- 62
радостная новость ))))) в реестре с помощью AATools нашел ветки реестра - любой процесс касперского заменялся на wocfiba.exe, ветки удалил - ребут - касперский живехонький появился ) радуюсь полчаса.
осталась одна проблема - не возможно сделать скрытые\системные файлы видимыми
-
Сообщение от
mk_
почему то не определяется процесс который ломиться...
Ну естественно - оно же снаружи. Это входящие пакеты.
Сообщение от
mk_
осталась одна проблема - не возможно сделать скрытые\системные файлы видимыми
А если так:
Код:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=dword:00000001
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\mk_\\мои документы\\mk1 мои документы\\kaht2.rar - Exploit.Win32.DCom.y (DrWEB: archive: IRC.Flood)
- c:\\documents and settings\\олег\\мои документы\\pocket_pc my documents\\a-311_102.rar - Backdoor.Win32.Haxdoor.c (DrWEB: archive: BackDoor.Prodex)
- \\wocfiba.exe - Worm.Win32.AutoRun.ow (DrWEB: Win32.HLLW.Autoruner)
-