Подхватил вирус типа троян (откуда не знаю). Постоянно что то качает и отсылает. Установил фаервол, проблемы прекратились. Потом пропал инет (связь ограниченна или отсутсвует). NOD32 постоянно отправляет в карантин новосозданные файлы типа cd****.nls. Скачал утилиту AVZ4, сделал всё как описанно в подобных проблемах. Но zip файл создаётся пустым. При анализе утилитой файлы типа cd****.nls не могут читаться (видимо их использует какое то приложение). При анализе все программы защиты были деактивированны (NOD32 и FireWall). Также, при анализе выдаётся ошибка о том, что остутсвует файл gowoggzuuns.dll (эта библиотека была инфицированна и удалена антивирусом).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ах да. У меня при скане обнаружился ещё 1 вирус - BackDoor. К сожалению я с дуру удалил папку сожержащую этот вирус (была заражена программа FlashGet - браузер) и теперь незнаю как он точно называется. Наверное поэтому у меня нет соединения с инетом (у меня ИП адрес с сервака не получает, и некоторые программы серверы не запускались потому что использовался какой-то порт).
1. Похоже, вы не отключили восстановление системы. Сделайте это!
2. Скачайте утилиту WinSockxpFix отсюда: http://www.winsockfix.nl
3. Запишите все свои сетевые настройки, если есть локальная сеть.
4. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(true);
DelSPIByFileName('gowoggzuuns.dll',true);
AutoFixSPI;
RebootWindows(true);
end.
Компьютер перезагрузится.
5. Если пропадет связь с интернетом, используйте скачанную программу, затем проверьте и при надобности введите заново сетевые настройки.
6. Сделайте новые логи в нормальном режиме.
Последний раз редактировалось Bratez; 02.07.2007 в 18:25.
Причина: исправил скрипт
Действия:
1. Отключил;
2. Скачал утилиту;
3. Сеть имеется, настройки сохранены;
4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);
5. Воспользовался утилитой (см п2.);
6. Анализ проведён.
Результат:
1. Связь с интернетом восстановлена (сижу уже со своей системы);
2. Файлы типа cd****.nls больше не создаются;
3. Выкладываю новые логи.
Осталось только проверится на наличие трояна BackDoor, хотя при анализе он уже не проявлял себя.
Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды".
Последний раз редактировалось TyMaH; 02.07.2007 в 19:10.
Причина: Забыл вложить логи
Действия:
4. Строка DelSPIByFileName('gowoggzuuns.dll',true); не выполняется так как файл "gowoggzuuns.dll" отсутствует (я выполнил скрипт без этой строки);
Огромное спасибо! Буду вас рекомендовать всем знакомым, так что работы у вас наверно добавиться. Но я всё же посоветую ВСЕМ, перед тем как выходить в сеть (любую) поставить антивирус (с последними базами) и фаервол, ибо как показывает практика без них "и не туды и не сюды".
Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.
В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Не надо править скрипты. Эта строчка не только удаляет файл, но и ставит отметку по чистке реестра.
В Вашем случае помог winsockxpfix, а так бы были недолеченные следы.
На счёт исправления скриптов учту, вручную ничего исправлять не буду, буду только сообщать причину ошибки. В данное время обновил базу NOD32 (до этого небыло возможности из за отсутствия сети) и провожу глубокий анализ системы. Обнаружились остатки вируса спам-бота в папке System Volume Information. Файлы были успешно удалены.
То есть, остатки спамбота попали в SVI уже после лечения? Кстати, о том, что "после" уже наступило, никто не говорил... Выключите и не включайте, пока отмашку не дадут.
Да, is-A3D72.exe и его строчка в логе отсутствуют, видимо это была какая-то незавершенная инсталляция. А вот второй файлик явно не полезный, судя по результату Вирустотал, да и место проживания у него "не как у людей" Так что давайте его удалим:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
BC_DeleteFile('C:\DOCUME~1\TyMaH\LOCALS~1\Temp\CmdLineExt02.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выкладываю. При проверке обнаружилась пара подозрительных объектов, но повторная проверка антивирусом ничего не выявила. Надеюсь это действительно последние логи которые я выкладываю (файлы помещены в карантин, отправлю вам если потребуется).
Последний раз редактировалось TyMaH; 03.07.2007 в 18:55.
Причина: орфографические ошибки
Уважаемый(ая) TyMaH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: