Junior Member
Вес репутации
62
cssrss.exe и load.exe и не только
Брандмауэр Windows сообщил, что cssrss.exe и load.exe пытаются лезть в сеть.
Но это не все, еще раньше переставлял систему из-за того, что сразу после запуска системы (появлялся рабочий стол), комп начинал перегружаться.
Перестановка системы и смена антивируса с NOD32 на Avast облегчения не принесли. При запуске антивирус постоянно выдает сообщение об обнаружении Win32:Small-EPJ[Trj] и Win32:Agent-HKE[Trj] в папке LOCALS~1\Temp.
Заранее благодарен за помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
профиксите
Код:
04 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('c:\windows\system32\drivers\mzqdd.exe','');
QuarantineFile('c:\windows\system32\cssrss.exe','');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
DeleteFile('c:\windows\system32\cssrss.exe');
DeleteFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('\??\C:\WINDOWS\system32\ksys.sys');
DeleteFile('\??\C:\WINDOWS\system32\nso12k.sys');
DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи...
Junior Member
Вес репутации
62
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('haspnt32.dll','');
QuarantineFile('C:\WINDOWS\system32\deskey.dll','');
QuarantineFile('c:\windows\system32\drivers\mzqdd.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('c:\windows\system32\drivers\mzqdd.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\deskey.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11442
Junior Member
Вес репутации
62
C:\WINDOWS\system32\ksys.sys - Rootkit.Win32.Agent.eb
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys - Rootkit.Win32.Agent.d p
c:\windows\system32\drivers\mzqdd.exe - Trojan-Downloader.Win32.Agent.bzb
c:\windows\system32\cssrss.exe - Trojan.Win32.Agent.amr
C:\WINDOWS\system32\lr85.exe - Trojan-Downloader.Win32.Agent.bzb
C:\WINDOWS\system32\haspnt32.dll - Rootkit.Win32.Agent.ey
(по Касперскому)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\haspnt32.dll');
BC_DeleteFile('C:\WINDOWS\system32\haspnt32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
Junior Member
Вес репутации
62
Вложения
1.На всякий случай поищите при помощи AVZ файл haspnt32.dll ,если найдётся то удалите его.
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\lr85.exe');
SysCleanAddFile('deskey.dll');
SysCleanAddFile('haspnt32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите лог hijackthis .
Последний раз редактировалось drongo; 31.07.2007 в 11:45 .
Причина: Добавил одного
Junior Member
Вес репутации
62
Вложения
Пофиксить в HijackThis строчку ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: deskey - C:\WINDOWS\
и давайте уже остальные логи для успокоения
Junior Member
Вес репутации
62
кажись снова
Вложения
В логах всё чисто.Остались какие-то проблемы?
C:\WINDOWS\system32\lr85.exe-не удалился. Попробуйте в сейф моде руками
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 43 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent.amr (DrWEB: Trojan.DownLoader.28920) c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319) c:\\windows\\system32\\drivers\\mzqdd.exe - Trojan-Downloader.Win32.Agent.bzb (DrWEB: Trojan.DownLoader.28699) c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321) c:\\windows\\system32\\ksys.sys - Rootkit.Win32.Agent.eb (DrWEB: Trojan.NtRootKit.24 c:\\windows\\system32\\lr85.exe - Trojan-Downloader.Win32.Agent.bzb (DrWEB: Trojan.DownLoader.28699) haspnt32.dll - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)