Ndis - Trojan.Spamdes!inf (по Симантеку), патченный. Лечение его не прошло. Надо повторить.
Ndis - Trojan.Spamdes!inf (по Симантеку), патченный. Лечение его не прошло. Надо повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Извиняюсь, забыл еще одного зверька обработать
Выполните такой скрипт:
Новый карантин загрузите по правилам, и логи еще раз придется сделать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe',''); DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe'); DeleteFile('C:\WINDOWS\System32\t0.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 24.09.2007 в 14:23.
I am not young enough to know everything...
вобщем делаю этот скрипт, плюс скрипт предложенный выше:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.s ys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
И высылаю карантин с файлом NDIS. + 3 новых лога. Так?
И еще: выше написал - t0.dll не удаляется зараза.
Минутку, я изменю скрипт...
Добавлено через 2 минуты
Готово, выполняйте.
Последний раз редактировалось Bratez; 24.09.2007 в 14:24. Причина: Добавлено
I am not young enough to know everything...
Также там с ним в этой же папке и блокнотовский файл t0
Толже в скрипте дописать строчку наверное надо. Он вроде бы с dll-ловским появляется. Файл *.ini
Добавлено через 14 минут
После выполнения скрипта
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.s ys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end
Карантин пустой.
Удаление скриптом файла t0.dll и t0.ini прошло успешно. Это хорошо. Только как узнать - была ли эта основная часть вируса или это не главное. Или вирус может представлять собой такой файл dll и только? Подскажите, пожалуйста.
PS логи после проделанных двух последних скриптов делаю...скоро будут
Последний раз редактировалось Dev!L*; 24.09.2007 в 14:39. Причина: Добавлено
Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.
Новые логи, конечно, тоже нужны.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Последний раз редактировалось Shu_b; 24.09.2007 в 15:04.
В логах больше ничего подозрительного нет.
Можете выключить и удалить службу Reset 5 - это кряк от SP1, в SP2 смысла не имеет.
I am not young enough to know everything...
http://www.virustotal.com/ru/resulta...a979c65ae3c493
все чисто. Файл восстановлен данной мне прогой?
Добавлено через 50 секунд
Как это сделать? Просто я такого не видел.
ПС тихо, не палите с кряком
Добавлено через 4 минуты
И еще: у меня пофиксен с помощью HJ файл систем32/userinit.exe (не помню, кто-то из вас сказал так сделать) его так там и оставить висеть пофиксенным?
Последний раз редактировалось Dev!L*; 24.09.2007 в 15:13. Причина: Добавлено
Открыть окно командной строки и набрать:Как это сделать?
sc stop "reset 5"
sc delete "reset 5"
(именно так, с кавычками, после каждой строки нажать Enter).
I am not young enough to know everything...
вы фиксили ...
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
все верно ...
Спасибо всем огромное, надеюсь на этом проблемы окончатся. Как я понял, туперь AVZ и HJ у меня пусть остаются на компе.
Последнее - какой антивирус или мб просто прогу поставить против пободной дряни? Просто за эту неделю перепробоавал кучу анти-spyware прог и не все находили. А кто находил - удалял а потом заново начиналось.
ВОбщем что лучше всего поставить, чтоб обновлять можно было регулярно через инет.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\cd1041.nls - Trojan-Proxy.Win32.Pixoliz.na (DrWEB: Trojan.Spambot.2470)
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Agent.x (DrWEB: Trojan.Spambot)
Уважаемый(ая) Dev!L*, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.