сношу касперским, AVZ, но они вновь закачиваются из инета. Трафик растет скачками. Пробовал закрывать адреса, но не помогает. Прислать лог virusinfo_syscheck.zip не могу, так как он весит около 900 кб.((
сношу касперским, AVZ, но они вновь закачиваются из инета. Трафик растет скачками. Пробовал закрывать адреса, но не помогает. Прислать лог virusinfo_syscheck.zip не могу, так как он весит около 900 кб.((
Последний раз редактировалось sss; 08.06.2007 в 13:40.
@sss
Почитайте тут. Это интересно.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\a3dx8.dll',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\WINDOWS\system32\xpdx.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите содержимое карантина согласно приложению 3 правил.
I am not young enough to know everything...
загрузился или нет?
Дык правила хто читать будет?!Когда архивировал, касперский нашел парочку Troajn.Clicker
Отключить его надо было, он же весь карантин съел!
Выполните скрипт:
и карантин пришлите по новой.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\WINDOWS\system32\xpdx.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
сделал этот скрипт и отправил. Жду. А почему в этот раз в скрипте не было поиска a3dx8.dll???
Походу еще ядру капец, думаю какой нибудь руткит постарался.
Последний раз редактировалось sss; 10.06.2007 в 12:12.
Выполните следующий скрипт:
После перезагрузки пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\WINDOWS\csrss.exe'); DeleteFile('C:\WINDOWS\system32\a3dx8.dll'); BC_ImportDeletedList; BC_DeleteSvc('xpdx'); BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
и новые логи - в студию. Очень желательно все три.Код:O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
Если не поместятся, старые логи можно удалить.
I am not young enough to know everything...
есть
А пофиксить забыли?
Выполните еще такой скрипт в AVZ:Код:O20 - Winlogon Notify: A3dxq - C:\WINDOWS\ O20 - Winlogon Notify: botreg - C:\WINDOWS\
Если карантин будет не пустой, пришлите по правилам.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\svchost.exe:exe.exe'); BC_QrFile('C:\WINDOWS\perfmon.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Прикрепите к теме файл boot_clr.log из папки с AVZ.
I am not young enough to know everything...
только не профиксил строки 020, их нет.
Ясно. Выполните скрипт:
и после перезагрузки сделайте новый лог HijackThis.Код:begin BC_DeleteSvc('ICF'); BC_DeleteSvc('Performance Monitor'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
сотворил.
Ну все, теперь полный порядок
Надеюсь, левого трафика больше нет?
I am not young enough to know everything...
посмотрим еще. А как быть с перехватчиками klif.sys и sptd.sys???? Они обнаруживаются при сканировании.
klif.sys - это драйвер от Касперского,
а sptd.sys - Alcohol или DaemonTools.
Эти перехватчики не опасны.
The worst foe lies within the self...
Уважаемый(ая) sss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.