подцепил какой-то вирус, проверял утилитой CureIt от DrWeb и AVZ нашел кой что но спам все равно уходит
высылаю логи в соответствии с правилами
очень нужна помощь
заранее благодарен
подцепил какой-то вирус, проверял утилитой CureIt от DrWeb и AVZ нашел кой что но спам все равно уходит
высылаю логи в соответствии с правилами
очень нужна помощь
заранее благодарен
выполните скрипт. ...
после перезагрузки еще один ....Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xni58', 'Start'); RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll',''); QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll',''); QuarantineFile('C:\WINDOWS\system32\yfeas.dll',''); QuarantineFile('C:\WINDOWS\system32\mstmdm.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\poof',''); QuarantineFile('C:\WINDOWS\Xni58.sys',''); DeleteFile('C:\WINDOWS\Xni58.sys'); DeleteFile('C:\WINDOWS\system32\poof'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\mstmdm.dll'); DeleteFile('C:\WINDOWS\system32\yfeas.dll'); DeleteFile('C:\WINDOWS\system32\jkd845jg.dll'); DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{B5AF0562-94F3-42BD-F434-2604812C297D}'); DelBHO('{B5AC49A2-94F3-42BD-F434-2604812C897D}'); BC_DeleteSvc('poof'); BC_DeleteSvc('Xni58'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
выслал карантин и вот новые логи
Последний раз редактировалось Макcим; 24.12.2007 в 17:53.
Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip
Добавлено через 4 минуты
При выполнении скриптов было сообщение "Скрипт выполнен без ошибок"?
Последний раз редактировалось Bratez; 24.12.2007 в 17:15. Причина: Добавлено
I am not young enough to know everything...
извините, затупил малость.
вот нужный файл
да, выполнено без ошибок
Попробуем так:
1-й скрипт
После перезагрузки 2-й скриптКод:begin RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xni58', 'Start'); RebootWindows(true); end.
Пришлите новый карантин, если будет не пустой.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Xni58.sys',''); DeleteFile('C:\WINDOWS\Xni58.sys'); BC_ImportALL; BC_QrSvc('Vvo46'); BC_QrSvc('Xni58'); BC_DeleteSvc('Vvo46'); BC_DeleteSvc('Xni58'); BC_Activate; RebootWindows(true); end.
Повторите логи.
I am not young enough to know everything...
карантин не пустой Xni58.sys там присутствует, но с логами что-то непонятное.
Запустил "скрипт лечение/карантина" и оставил машинку работать, подхожу а там чистый экран, AVZ нет и логов в папке нет.
к сожалению на сегодня борьбу с вирусами вынужден прекратить, иначе до дому не доберусь, автобусы ходить перестанут.
Хоть карантин залейте, поглядим пока...
I am not young enough to know everything...
карантин залил, спасибо за заботу, до завта
залил новый карантин, но сдается мне он тоже пустой, добавил какртинку как выглядит карантин на машине
загрузилcя с диска LiveCD и удалил все файлы Xni58.sys
C:\Windows\Xni58.sys
C:\Windows\system32\drivers\Xni58.sys
теперь спам не отсылает, вот новые логи, посмотрите пожалуйста, может еще чего нехорошего имеется.
спасибо за оперативную помощь
Это вы правильно придумали, теперь в логах чисто
Образчик, судя по всему, у вас сохранился? -
Пришлите по правилам для исследования.C:\DISTR\Логи АнтиВиря\111\111.rar/{RAR}/Xni58.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt....
Посмотрите, нужно ли вам что-то из этого:
Лишнее рекомендуется отключить.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Чисто...
Пришлите по правилам C:\DISTR\Логи АнтиВиря\111\111.rar, там Вы сохранили копию зловреда - пригодится
Спасибо огромное за вашу помощь, файлик выслал.
всех с наступающим, споконых Вам выходных и безвирусных будней
Рекомендуется прочитать книгу "Безопасный Интернет Универсальная защита для Windows ME – Vista"
Вы можете отблагодарить нас оказав помощь в пополнении базы безопасных файлов.
И всёже лишние службы лучше отключить...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- \\111.rar - Trojan-Downloader.Win32.Mutant.aim (DrWEB: archive: BackDoor.Bulknet.112)
Уважаемый(ая) Scoundrel_41, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.