Касперский при загрузке системы находит файл nso12k.sys, который заражен троянской программой Trojan.Win32.Agent.amr. Пытался в реестре удалить , но ничего не получается. Хотелось получить помощь.
Касперский при загрузке системы находит файл nso12k.sys, который заражен троянской программой Trojan.Win32.Agent.amr. Пытался в реестре удалить , но ничего не получается. Хотелось получить помощь.
Для начала соберем анализы
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows.1\system32\odbcjet.exe',''); QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll',''); QuarantineFile('c:\WINDOWS.1\system32\vsjitdebugger.exe',''); QuarantineFile('C:\WINDOWS.1\system32\nso12k.sys',''); QuarantineFile('C:\WINDOWS.1\system32\cssrss.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Добавлено через 2 минуты
Вот это можно сразу пофиксить:
Remote Administrator установлен с вашего ведома?Код:O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll (file missing)
Последний раз редактировалось Bratez; 13.09.2007 в 13:25. Причина: Добавлено
I am not young enough to know everything...
Remote Administrator установлен мной и я с ним работаю.
Последний раз редактировалось Shu_b; 13.09.2007 в 22:14.
Карантин нельзя прикреплять к сообщению, для этого есть ссылка вверху темы! Уберите и отправьте тут: http://virusinfo.info/upload_virus.php?tid=12415
Добавлено через 8 минут
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=c:\windows.1\system32\userinit.exe,c:\windows.1\system32\odbcjet.exe
Сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS.1\system32\cssrss.exe'); BC_DeleteSvc('nso12k'); BC_DeleteFile('C:\WINDOWS.1\system32\nso12k.sys'); BC_DeleteFile('C:\WINDOWS.1\system32\cssrss.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 13.09.2007 в 16:39. Причина: Добавлено
I am not young enough to know everything...
Я загрузил. Только как мне теперь я его не вижу
Файл сохранён как 070913_073808_virus_46e92f308e49c.zip
Размер файла 119765
MD5 c51464040764884bb1fa792be9f5b791
Добавлено через 2 минуты
Хорошо. Сейчас все переделаем
Добавлено через 16 минут
Все загружено.
Последний раз редактировалось ysterk; 13.09.2007 в 16:58. Причина: Добавлено
А логи новые где?
I am not young enough to know everything...
Я их загружаю , а как тогда их отправить
Добавлено через 9 минут
Все сейчас будут
Последний раз редактировалось ysterk; 13.09.2007 в 17:17. Причина: Добавлено
Сюда логи, туда вирусы - Правило этого форума.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот их, в отличие от карантина, прикрепить сюда,а как тогда их отправить
так же, как в первом сообщении.
I am not young enough to know everything...
Вот логи
Зверя больше нет. Есть два замечания.
1. В системе болтается драйвер от Symantec, его желательно удалить.
Это можно сделать таким скриптом:
2. Скажите, используете ли что-то из этого списка:Код:begin BC_DeleteSvc('SymEvent'); BC_Activate; RebootWindows(true); end.
Что не нужно - пофиксим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Спасибо, все исправил.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 76
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows.1\\system32\\cssrss.exe - Trojan-Downloader.Win32.Agent.djo (DrWEB: Trojan.NtRootKit.323)
Уважаемый(ая) ysterk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.