-
Junior Member
- Вес репутации
- 60
Trojan.Nsanti.Packed и др.
Подцепил недавно троян. Проверял DrWebом никакого эффекта. Не отображаются скрытые файлы и папки. SpIDer Guard при открытии из моего компьютера дисков все время лечит один и тот же файл
C:\Documents and Settings\Andrey\Local Settings\Temp\bh.dll - инфицирован Trojan.Nsanti.Packed
После лечения AVZ диски из мой компьютер вообще при щелчке не открываются, приходится вручную искать explorer. Помогите вылечить комп. Высылаю необходимые логи.
Последний раз редактировалось AndreyM16; 16.01.2008 в 21:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Огромное спасибо
Вроде сейчас все нормально. ОГРОМНОЕ СПАСИБО. Высылаю логи
Еще один вопрос. В одном из постов прочитал что троян мог попасть из флешки, подскажите что нужно сделать. Проверить флешку AVZ (удерживая Shift от автозапуска)?
Последний раз редактировалось AndreyM16; 16.01.2008 в 22:04.
-
отключите антивирус ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось AndreyM16; 16.01.2008 в 22:37.
-
вся компания на месте ....
отключите антивирус и фаервол ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\n1deiect.com');
DeleteFile('C:\WINDOWS\system32\amvo0.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи....
-
-
Junior Member
- Вес репутации
- 60
Вроде сейчас отключил в трее все что мог, мои логи
Последний раз редактировалось AndreyM16; 16.01.2008 в 23:27.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('E:\autorun.inf');
BC_Activate;
SysCleanAddFile('C:\WINDOWS\system32\amvo0.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Мои логи. Что то не лечится?
Последний раз редактировалось AndreyM16; 16.01.2008 в 23:59.
-
попробуйте выполнить любой из скриптов в Safe mode ...
-
-
Junior Member
- Вес репутации
- 60
Выполнил последний в Safe mode и потом HiJackThis в обычном режиме.
Последний раз редактировалось AndreyM16; 17.01.2008 в 02:33.
-
Junior Member
- Вес репутации
- 60
Еще один вопрос? А логи которые я высылаю не старые?! Посмотрите пожалуйста.
-
старые ....
Код:
Сканирование запущено в 16.01.2008 20:23:57
пошутили вы над нами ...
-
-
Junior Member
- Вес репутации
- 60
А как в AVZ выполнить скрипт чтобы был создан лог или нужно повторно выполнить то что написано в правилах?
ИЗВИНИТЕ. Прогнал совсем.
-
да повторно все как вы делале в первом посте ...только ЗАНОВО ....
-
-
Junior Member
- Вес репутации
- 60
Наконец-то получил новые логи(в прошлый раз все перепутал). Заливаю их.
Последний раз редактировалось AndreyM16; 31.01.2008 в 18:42.
-
в логах все нормально можно отключить лишнее из этого списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 60
Большое спасибо за помощь, наконец то избавился от этих троянов.