4 вируса: Downloader и его "друзья"

**ghostil** · 16.07.2007, 15:46

Здравствуйте!Вот Symantec Anti-Virus обнаружил 4 вируса. Никак не удаётся удалить Буду вам премного благодарен, если вы посмотрите логи и поможете мне!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 16.07.2007, 15:59

Ухожу, но импорт файлов в скрипт надо добавить.

**Numb** · 16.07.2007, 16:00

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS\system32\cfgcnt.dll','');
 QuarantineFile('C:\Program Files\Starware343\bin\Starware343.dll','');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\Program Files\Starware343\bin\Starware343.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=11086 и пофиксите с помощью hijackthis строки:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDHhd+DajGh0quTTZDN/RwCl4P8X7neUWmAqgl0bjfp/9XmIcK6QM30Sf7B0FWR7oqZ3owASmXxI/70QG2IEJFZwSfIH1iqo3NPyu7TZ1YZsOxVroBUvB4KfRAnkm4MKg4gJK9NOQPjreZpTipDSA==
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

После всех правок, сделайте новые логи, начиная с п.10 правил

**ghostil** · 16.07.2007, 16:26

Карантин отправил. Вот выкладываю новые, свежие логи.

**Numb** · 16.07.2007, 16:43

Карантин пришел пустой, в логах зараза почему-то осталась. На время выполнения скрипта, отключитесь от сети, отключите автоматическое восстановление и отключите антивирусный монитор. Затем: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cfgcnt.dll','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки, снова пришлите карантин, если в нем что-нибудь будет, и сделайте новые логи, начиная с п.10 правил

**PavelA** · 16.07.2007, 16:45

карантин, к сожалению пустой. Все, что у Вас было прошло мимо нас.
Остался вопрос: Почему в логе AVZ осталась:C:\WINDOWS\system32\cssrss.exe
и почему я ее(его) не виже ни в карантине, ни в протоколе hijackthis.

Для гарантии: поискать C:\WINDOWS\system32\cssrss.exe
Если найдется, будем удалять.

**ghostil** · 16.07.2007, 17:12

Закачал новый карантин. В архиве должно быть 4 файла, специально проверил. И вот новые логи, сделанные после выполненного скрипта.

**PavelA** · 16.07.2007, 17:48

Какая радость!! Мы всех убили, в смысле зловредов.

Логи чистые.

**ghostil** · 16.07.2007, 17:53

Вот спасибо!!!!

**PavelA** · 16.07.2007, 18:17

М.Б. кто-то еще что-то захочет посмотреть. ИМХО, система с т.з. АВЗ и Хиджак чиста.

**Muzzle** · 16.07.2007, 18:45

Для полной уверености давайте попробуем поискать cfgcnt.dll,при помощи AVZ--сервис---поиск файлов на диске и если найдётся то добавьте карантин и пришлите по правилам.

4 вируса: Downloader и его "друзья" (заявка № 11086)

Опции темы