Junior Member
Вес репутации
63
Trojan.Dropper и Downloader
В общем Нортон находит packed_installer_cn[2].exe (заражен Trojan.Dropper) и eaglenew[2].exe (заражен Downloader), но не лечит их... При выполнении скрипта AVZ "лечения/карантина и сбора информации" комп начинает самопроизвольно перезагружаться, лога не остается... Шлю на всякий 2 оставшихся лога... Базы новые, проги тоже качал заново
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\GPCIDrv.sys','');
QuarantineFile('Ktc43.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ktc43.sys','');
QuarantineFile('C:\WINDOWS\system32\Ktc43.sys','');
QuarantineFile('C:\WINDOWS\system32\uddews.exe','');
QuarantineFile('C:\WINDOWS\system32\SymNeti.DLL','');
QuarantineFile('C:\WINDOWS\system32\sdvcdos.exe','');
QuarantineFile('C:\WINDOWS\system32\sdrsrt.exe','');
QuarantineFile('C:\WINDOWS\system32\dtesmcd.exe','');
QuarantineFile('C:\WINDOWS\system32\drvacjmc.exe','');
QuarantineFile('C:\WINDOWS\system32\ddesam.exe','');
QuarantineFile('C:\WINDOWS\system32\adveeovo.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя эту ссылку .
PS. утилитой CureIt проверяли?
Junior Member
Вес репутации
63
Утилиту скачал, сохранил на жестком, заучтил, комп сразу стал перезагружаться, а сам мсполняемый файл утилиты исчез, до сих пор не понимаю как это?
есть возможность записать Cureit на чистой машине на CD ... и произвести проверку ?
Junior Member
Вес репутации
63
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\GPCIDrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ktc43.sys');
DeleteFile('C:\WINDOWS\system32\uddews.exe');
DeleteFile('C:\WINDOWS\system32\sdvcdos.exe');
DeleteFile('C:\WINDOWS\system32\sdrsrt.exe');
DeleteFile('C:\WINDOWS\system32\dtesmcd.exe');
DeleteFile('C:\WINDOWS\system32\drvacjmc.exe');
DeleteFile('C:\WINDOWS\system32\ddesam.exe');
DeleteFile('C:\WINDOWS\system32\adveeovo.exe');
BC_DeleteSvc('GPCIDrv');
BC_DeleteSvc('Ktc43');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (все) и приложите их к своей теме.
Добавлено через 9 минут
Анитивирус Касперского их знает как:
C:\WINDOWS\system32\_svchost.exe - Trojan-Downloader.Win32.Tiny.nj
C:\WINDOWS\system32\Drivers\Ktc43.sys - Rootkit.Win32.Agent.jy
C:\WINDOWS\system32\uddews.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\sdvcdos.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\sdrsrt.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\dtesmcd.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\drvacjmc.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\ddesam.exe - Backdoor.Win32.SdBot.cah
C:\WINDOWS\system32\adveeovo.exe - Backdoor.Win32.SdBot.cah
Последний раз редактировалось AndreyKa; 13.10.2007 в 00:48 .
Причина: Добавлено
Junior Member
Вес репутации
63
Вложения
Последний раз редактировалось Shu_b; 13.10.2007 в 13:06 .
Low frequency player!
уберите карантин из темы ...
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('update255.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\GPCIDrv.sys');
DeleteFile('adveeovo.exe');
DeleteFile('update255.exe');
BC_ImportAll;
BC_DeleteSvc('GPCIDrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи...
Junior Member
Вес репутации
63
расширенный режим ... управление вложениями ...
Junior Member
Вес репутации
63
Вложения
Пуск - Выполнить - cmd.exe
Наберите команду:
sc delete "Microsoft Internet Explorer"
нажмите Enter.
Повторите лог HijackThis.
I am not young enough to know everything...
Junior Member
Вес репутации
63
Вложения
I am not young enough to know everything...
Junior Member
Вес репутации
63
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\adveeovo.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.IRC.Sdbot.1406) c:\\windows\\system32\\ddesam.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot) c:\\windows\\system32\\drivers\\ktc43.sys - Rootkit.Win32.Agent.jy (DrWEB: Trojan.NtRootKit.414) c:\\windows\\system32\\drvacjmc.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot) c:\\windows\\system32\\dtesmcd.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot) c:\\windows\\system32\\sdrsrt.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot) c:\\windows\\system32\\sdvcdos.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot) c:\\windows\\system32\\_svchost.exe - Trojan-Downloader.Win32.Winlagons.d (DrWEB: Trojan.DownLoader.35263) c:\\windows\\system32\\uddews.exe - Backdoor.Win32.SdBot.cah (DrWEB: BackDoor.Mailbot)