-
Full Member
- Вес репутации
- 64
Появился Downloader
Здравствуйте!:-)
Возникла такая неприятная проблема.
Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
Все пунты Правил выполнил.
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключитесь от сети.
Закройт все программы. Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
-
-
Full Member
- Вес репутации
- 64
Скрипт выполнил и закачал карантин.
Жду от Вас вестей.
-
ntos.exe - Trojan-Spy.Win32.Bancos.aam.
-
-
Full Member
- Вес репутации
- 64
Как я понимаю, мне надо удалить этот файл, да?
-
Его уже удалили. Это просто к сведению.
-
-
Full Member
- Вес репутации
- 64
Просто дело в том, что SAV, всё равно, выдаёт этот вирус
-
12520437b.exe - Backdoor.Win32.IRCBot.abc
Выполните скрипт в AVZ
Код:
begin
BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe
Повторите логи.
-
-
Full Member
- Вес репутации
- 64
Спасибо, сейчас выполню указания.
-
Full Member
- Вес репутации
- 64
Всё выполнил!Вот новые получившиеся логи.
Что можете сказать, док?
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvc('SCardSvrERSvc');
BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,
Повторите логи.
-
-
Full Member
- Вес репутации
- 64
Вот, какие логи получились в этот раз. По-моему, всё чисто.
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
-
Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.
-
-
Full Member
- Вес репутации
- 64
-
Full Member
- Вес репутации
- 64
Удалил указанный вами файл. Вот лог.
Последний раз редактировалось ghostil; 26.07.2007 в 16:38.
-
Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?
-
-
Full Member
- Вес репутации
- 64
Нет, ничего такого не имеется.
Добавлено через 1 минуту
а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
Последний раз редактировалось ghostil; 11.07.2007 в 13:48.
Причина: Добавлено сообщение
-
А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.
-
-
Full Member
- Вес репутации
- 64
к сожалению, остатков нет
-
У вас есть дистрибутив Windows XP SP2?
-