-
Full Member
- Вес репутации
- 64
Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.
Др Веб обнаружил наличие следующих вирусов:
Trojan.Spambot.2559,
Trojan.Inject.544,
Trojan.Proxy.2373,
Trojan.MulDrop.9764
Trojan.PWS.LDPinch.2434 (C:\Documents and Settings\Макс\Local Settings\Temp\lich.sys)
Worm.Sifiliz
Trojan.DownLoader.33840
Trojan.Packed.195
Trojan.KeyLogger.origin
Trojan.PWS.LDPinch.2434 (c:\windows\system32\drivers\aeaudio.sys)
Trojan.DownLoader.35184 (3 файла во временных папках интернет эксплорера)
Trojan.DownLoader.33840 (файл во временной папке интернет эксплорера)
Все экземпляры удалены, папки временных файлов почищены, временные файлы интернет эксплорера удалены. Затем сделаны логи по правилам:
Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys','');
QuarantineFile('C:\Documents and Settings\Макс\Application Data\ntos.exe','');
QuarantineFile('C:\fwdrv.sys','');
DeleteFile('C:\Documents and Settings\Макс\Application Data\ntos.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('fwdrv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16368
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {531BE052-76FC-4b05-9CCD-AF6AA265113C} - (no file)
Последний раз редактировалось Muzzle; 14.01.2008 в 09:29.
-
-
Full Member
- Вес репутации
- 64
Карантин закачал:
Файл сохранён как 080114_013657_virus_478b11195b32f.zip
Размер файла 13561
MD5 28ae2bdede56e0606ec73852c7aeceeb
Сроку в HijackThis пофиксил.
Последний раз редактировалось Rogoff; 14.01.2008 в 13:06.
-
В карантине
mssrv32.exe - Trojan.Win32.Agent.dus
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Пришлите новый карантин по правилам.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
-
присланный файл чистый ... (вирустотал)
сделайте новые логи
-
-
Full Member
- Вес репутации
- 64
логи, да, забыл добавить, что звуковая карта перестала работать. Новая установка не помогла, не хочет устанавливаться. Завтра попробую переустановить с родного CD. Случайно не в этом причина: см. первое сообщение - Trojan.PWS.LDPinch.2434 (c:\windows\system32\drivers\aeaudio.sys)
Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.
-
выполните скрипт ....
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\asc3550u.sys','');
BC_QrSvc('asc3550u');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Добавьте также в карантин файл
C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys
Первый раз он не попал, очень подозрительно его местонахождение вкупе с этой строчкой в логе:
Прямое чтение C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
карантин закачал, туда только файл tcpip.sys попал, остальное нет. Да, этот tcpip.sys думаю будет чистым, т.к. я его сам туда положил в одно из прошлых лечений...
-
Сообщение от
Rogoff
tcpip.sys думаю будет чистым, т.к. я его сам туда положил в одно из прошлых лечений...
Ну так бы сразу и сказали .
Выполните скрипт:
Код:
begin
BC_DeleteSvc('aeaudio');
BC_DeleteSvc('asc3550u');
BC_Activate;
RebootWindows(true);
end.
Больше ничего плохого не вижу.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssrv32.exe - Trojan.Win32.Agent.dus (DrWEB: Trojan.DownLoader.26661)
-