Junior Member
Вес репутации
60
Вредоносное ПО
Сегодня комп стал подавать признаки заражения. Касперский периодически выдает информацию о внедрении вредоносного ПО, хотел почистить темповские файлы интернет-эксплорера, но они оказались скрыты вирусом и не потдаются удалению, комп перезагружается и т.д.
Гоняю касперского, но толку мало. Выполнил все инструкции с http://virusinfo.info/showthread.php?t=1235
Надеюсь на вас ) Помогите плиз.
Вложения
Последний раз редактировалось drongo; 19.11.2007 в 13:22 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин убрать из темы!!! Загрузить в ссылку вверху темы.
Все есть в карантине, поэтому скриптом только удаляю остатки.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
BC_DeleteSvc('protect');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 19.11.2007 в 13:26 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
выполните скрипт...
Код:
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
затем еще один...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ke32psag.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\WINDOWS\system32\w32drv0.exe','');
QuarantineFile('C:\WINDOWS\system32\ke32paag.dll','');
QuarantineFile('C:\DOCUME~1\ART-MO~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\w32drv0.exe','');
QuarantineFile('c:\docume~1\art-mo~1\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('ke32paag.dll','');
DeleteFile('ke32paag.dll');
DeleteFile('c:\docume~1\art-mo~1\locals~1\temp\winlogon.exe');
DeleteFile('c:\windows\system32\w32drv0.exe');
DeleteFile('C:\DOCUME~1\ART-MO~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ke32paag.dll');
DeleteFile('C:\WINDOWS\system32\w32drv0.exe');
DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
DeleteFile('\??\C:\WINDOWS\system32\ke32psag.sys');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите...
Код:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ART-MO~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll
пришлите карантин согласно приложения 3 правил...
повторите логи...