Добрый день! Зажил такой вирус на компе. Последую схеме, описанной в теме от 07.05.2007г. Антивирус DRWEB. Живет около трех недель
Добрый день! Зажил такой вирус на компе. Последую схеме, описанной в теме от 07.05.2007г. Антивирус DRWEB. Живет около трех недель
Прошу извинения. Прошел вчера DrWeb в безопасном режиме. Обнаружено 48 записей. Попытка перемещения в карантин привела почему-то к удалению почти всего. Зачем? Очень испугало кол-во записей. Теперь Виндоуз при загрузке в нормальном режиме все время перегружается. Файл ntndis в drivers DrWeb похоже удалил. Что можно сделать? Заранее спасибо
Добавлено через 14 минут
P.S. отправить все как нужно по правилам без норм. режима Виндоуз, уже не получается.
Последний раз редактировалось Nikos; 08.07.2007 в 13:58. Причина: Добавлено сообщение
выполните правила из безопасного режима + дополнительный лог как сказано тут
http://virusinfo.info/showthread.php?t=10387
Добрый ближе к вечеру. Получились вот такие результаты. На диске Д тоже операционка стоит. Диск Д правда не включил, терпение подкачало.
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\mssrv32.exe',''); DeleteFile('c:\windows\system32\mssrv32.exe'); ExecuteSysClean; RebootWindows(false); end.Пришлите файлы карантина по правилам раздела "Помогите". Попробуйте сделать логи в нормальном режиме.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/ F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
Спасибо огромное!!! Выкладываю логи, полученные в нормальном режиме. Что-то есть по мелочи.
Немного волнуют три иконки программ на корню в С: load-black, new & zupachaPack. AVZ & DrWeb ничего похого в них не видят, появились недавно. А в констектном меню при работе с файлами осталось "Открыть Штирлицем".
Заархивируйте их с паролем virus и пришлите через эту ссылку. Проследите, чтобы попали *.exe файлы (по идеи они должны быть).
Выполните скрипт в AVZ
Пришлите файлы карантина по правилам раздела "Помогите". Больше ни чего подозрительного в логах нет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
mssrv32.exe - Trojan-Downloader.Win32.Agent.aii (по Kaspersky).
Это наверное уже сообщение завтрашнего дня. Архивы virusy & virus2 закачаны. Итак план на сегодня перевыполнен
new.exe_ - Packed.Win32.PolyCrypt.b,
zupachaPack.exe_ - Email-Worm.Win32.Zhelatin.ch (по Касперскому )
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\load-black.exe_'); DeleteFile('c:\new.exe_'); DeleteFile('c:\zupachaPack.exe_'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добрый вечер! Вчера не удалось получить доступ к компюютеру в полном объеме,
нагоняю сегодня . Три приложения из архива virusy скрипт не убил. При сборе информации в syscheck сканировалось только 333 объекта.
Попробовал еще раз скрипт прогнать, перегрузился - три брата (сестры) на С невредимы. Хоть бы что ...
Живучие.
давайте так попробуем
и пофиксите в hijackthisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\load-black.exe'); DeleteFile('c:\new.exe'); DeleteFile('c:\zupachaPack.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Код:O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.2.cab
Все!!! С тремя прогами на корню покончено
Пофиксил
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC ...
На всякий случай прикрепляю лог из Хайджеквиз. Спасибо!!!
Алелуя
начните отключать не нужные сервисы : удалённый рабочий стол, нетмитинг...
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Agent.aii (DrWEB: Trojan.MulDrop.8347)
- \\new.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)
- \\zupachapack.exe - Email-Worm.Win32.Zhelatin.ch (DrWEB: Trojan.Spambot)
Уважаемый(ая) Nikos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.