Показано с 1 по 12 из 12.

Norton находит Trojan.ByteVerify,Hacktool.Rootkit и много других вирусов (заявка № 15660)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    30
    Вес репутации
    63

    Thumbs up Norton находит Trojan.ByteVerify,Hacktool.Rootkit и много других вирусов

    Norton Antivirus периодически сканирует множество
    исходящих куда-то писем сразу после загрузки системы. Им
    были найдены вирусы - Trojan Horse, Infostealer.Ldpinch.C,
    Downloader, Hacktool.Rootkit, Trojan.Peacomm, Trojan.Packed.13,
    Trojan.ByteVerify, Trojan.Pandex, Trojan.Zlob, Backdoor.Trojan,
    Bloodhound.Overpacked, Trojan.Peacomm.D.
    В последнее время сразу после загрузки системы Нортон
    находит вирусы в папке Windows/System32/Drivers. Распознает
    как вирус Infostealer.Ldpinch.C. Делает backed-up copy
    зараженных файлов. Стала невозможна работа некоторых
    аудио-, видео программ, не удается подключиться к
    интернету.
    DrWeb-CureIt! обнаружил 25 видов вирусов в 114
    инфицированных файлах, 113 из которых он удалил.
    Неизлечимым оказался файл C:\Documents and Settings\All
    Users\Application Data\Symantec\Norton
    Antivirus\Quarantine\01190BC2.exe. Распознает как вирус
    Trojan.MulDrop.8870.

    Помогите, пожалуйста, избавиться от вирусов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    996
    1.отключиться от инета и отключить антивирус

    2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     DeleteService('msupdate');
     SetServiceStart('msupdate', 4);
     StopService('Tbh30');
     SetServiceStart('Tbh30', 4);
     DeleteService('Tbh30');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\Tbh30.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\dmboot.sys','');
     QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
     QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');
     QuarantineFile('C:\DOCUME~1\Ilona\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     DeleteFile('c:\windows\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\DOCUME~1\Ilona\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\Tbh30.sys');
     DeleteFile('c:\windows\system32\..\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    3.Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15660

    Добавлено через 5 минут

    4.новые логи сделать.
    Последний раз редактировалось drongo; 25.12.2007 в 17:16. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    30
    Вес репутации
    63
    и новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Выполните скрипт:
    Код:
    begin
     BC_DeleteSvc('Tbh30');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tbh30.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    30
    Вес репутации
    63
    Скрипт выполнен.
    Перечисленные службы можно все отключить.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Вот скрипт для отключения (автозапуск CD оставил):
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Если есть локалка с использованием общего доступа к файлам и принтерам, то первую строчку после begin уберите.

    Сделайте для контроля лог п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    30
    Вес репутации
    63
    Скрипт для отключения выполнен. Вроде, все, как надо.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1720
    Чисто.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Теперь полный порядок.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    30
    Вес репутации
    63
    Как? Уже все в порядке?
    Нет слов..

    Добавлено через 3 минуты

    Большое всем спасибо!
    С наступающим НГ, всего хорошего!

    С благодарностью,
    Ya4U

    Добавлено через 10 минут

    На данный момент Dr.Web-CureIt! в Safe mode нашел и удалил файл avz00001.dta, как вирус BackDoor.Bulknet.112.
    И остался неизлечим 01190BC2.exe, распознаваемый как вирус
    Trojan.MulDrop.8870.
    Сканирование еще продолжается.
    Это вызывает какую-нибудь угрозу?
    Последний раз редактировалось Ya4U; 25.12.2007 в 18:53. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Первый - карантин AVZ, второй - карантин NAV
    Пусть удаляет.
    I am not young enough to know everything...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    980

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-Downloader.Win32.Agent.gfq (DrWEB: Trojan.MulDrop.11333)
      2. c:\\windows\\system32\\cssrss.exe - Trojan-Downloader.Win32.Small.hid (DrWEB: Trojan.DownLoader.46361)
      3. c:\\windows\\system32\\..\\svchost.exe - Trojan-Downloader.Win32.Agent.gfq (DrWEB: Trojan.MulDrop.11333)
      4. c:\\windows\\tbh30.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)


  • Уважаемый(ая) Ya4U, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 07.09.2012, 01:15
    2. Hacktool.Rootkit Trojan.Dropper
      От kovallenko в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 10:17
    3. Ответов: 17
      Последнее сообщение: 22.02.2009, 02:21
    4. Trojan-Downloader.Win32.Small.cyn, и много других...
      От retuam в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.06.2008, 19:11
    5. Ответов: 27
      Последнее сообщение: 04.02.2008, 04:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00653 seconds with 17 queries