Подхватил троян. Он заразил системный файл C:\WINDOWS\system32\comca.dll. Переодически идет рассылка и прием пакетов. У меня стоит антивирус AVG. Файл не лечится и не удаляется. Помогите!
Подхватил троян. Он заразил системный файл C:\WINDOWS\system32\comca.dll. Переодически идет рассылка и прием пакетов. У меня стоит антивирус AVG. Файл не лечится и не удаляется. Помогите!
выполните скрипт ...
прфиксите ...Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lsc41', 'Start'); RebootWindows(true); end.
выполните скрипт ...Код:O2 - BHO: (no name) - {CF1FDDB1-63F6-400C-8BD9-4DF48C140A34} - C:\WINDOWS\system32\comca.dll O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('autorun.bat',''); QuarantineFile('C:\WINDOWS\mHotkey.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\noskrnl.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\wtcalfbf.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Lsc41.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Lsc41.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\wtcalfbf.dat'); DeleteFile('C:\WINDOWS\system32\noskrnl.sys'); DeleteFile('C:\DOCUME~1\АРТЕМ\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\comca.dll'); DeleteService('rwkgyuhd'); DeleteService('noskrnl.sys'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ..
Выполнил скрипт
затем профиксил все кроме ключаbegin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lsc41', 'Start');
RebootWindows(true);
end.
пишет закройте все окна все окна закрыл всеравно не хочет. Че делать?O2 - BHO: (no name) - {CF1FDDB1-63F6-400C-8BD9-4DF48C140A34} - C:\WINDOWS\system32\comca.dll
И еще строка во 2-м скрипте
получается что скрипт идет на удаление файла comca.dll?DeleteFile('C:\WINDOWS\system32\comca.dll');
Выполняйте скрипт, затем снова попробуйте пофиксить ту строчку.
Далее ждем карантин и новые логи.
I am not young enough to know everything...
БОЛЬШОЕ СПАСИБО!!!! вирус удалился! я сначала выполнил 2 скрипта потом профиксил. отсылаю логи и карантин
[moderated! Карантин нужно присылать согласно приложения 3 правил]
Последний раз редактировалось Shu_b; 20.12.2007 в 08:44.
1. Пришлите карантин по правилам - загружать тут:
http://virusinfo.info/upload_virus.php?tid=15378
2. Отключите восстановление системы!
3. Выполните такой скрипт:
4. После перезагрузки пришлите новый карантин, если будет не пустой .Код:begin ClearQuarantine; BC_QrSvc('NdisWon'); BC_QrSvc('r_server'); BC_QrSvc('SSDPSRVSharedAccess'); BC_DeleteSvc('NdisWon'); BC_DeleteSvc('r_server'); BC_DeleteSvc('SSDPSRVSharedAccess'); BC_Activate; RebootWindows(true); end.
5. Посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\lsc41.sys - Rootkit.Win32.Agent.qz (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\drivers\\wtcalfbf.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
Уважаемый(ая) FlyCry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.