Показано с 1 по 19 из 19.

W32.Spybot.Worm (заявка № 16549)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60

    Thumbs up W32.Spybot.Worm

    Пытаюсь вылечить систему сильно загаженную вирусами, вроде поборол используя cymantec и ваш avz
    trojan dropper , Backdoor.Haxdoor , еще кучку и застрял на W32SpybotWorm, cymantec оповещает что он в system32\sysfldr.dll
    поможите
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\amcis.dll','');
     QuarantineFile('C:\WINDOWS\win_kernel.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\ShowWnd.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys','');
     QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\win_kernel.exe');
     DeleteFile('C:\WINDOWS\system32\amcis.dll');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В дополнение к вышесказанному: поищите файл ntdump.exe
    через AVZ - Сервис - Поиск файлов на диске (отметить диск С: ).
    Если найдется - добавьте в карантин.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    пробую

  6. #5
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    logи
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wyh22', 'Start');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Iwk20', 'Start');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ovrscn.sys', 'Start');
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
     DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('E:\autorun.inf');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    вероятно после вирусов появилась такая проблемка с открытием папок через графику как бы папка открывается в режиме поиска или "с помошником по поиску" в этой папке , может проблема очевидная , ноя в основном в oc linux работаю , не знаю как исправить
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\system32\amcis.dll (file missing)
    O4 - HKCU\..\Run: [Userinit] ntdump.exe
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Iwk20');
     SetServiceStart('Iwk20', 4);
     StopService('Wyh22');
     SetServiceStart('Wyh22', 4);
     DeleteFile('C:\WINDOWS\Iwk20.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Iwk20.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Iwk20');
    BC_DeleteSvc('Wyh22');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    еще логи
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    немогу теперь вкл cymantec в режим постоянной защиты ?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SysCleanAddFile('C:\WINDOWS\system32\amcis.dll');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.zip.

    Что из этого не нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Добавлено через 34 секунды

    Цитата Сообщение от cherry81 Посмотреть сообщение
    немогу теперь вкл cymantec в режим постоянной защиты ?
    Удалите его совсем, пользы от него ни какой.
    Последний раз редактировалось Макcим; 17.01.2008 в 16:30. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    ничего не нужно

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Тогда выполните ещё такой скрипт
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.

  15. #14
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    а каким антивирусом посоветуете в дальнейшем пользоваться
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Следы этого amcis.dll так и остались...
    Выполните такой скрипт:
    Код:
    begin
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{EBBFE27C-BDF0-11D2-BBE5-00609419F467}');
    RebootWindows(true);
    end.
    и еще раз лог syscheck, надеюсь последний
    I am not young enough to know everything...

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от cherry81 Посмотреть сообщение
    а каким антивирусом посоветуете в дальнейшем пользоваться
    http://virusinfo.info/showthread.php?t=1550

  18. #17
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    9
    Вес репутации
    60
    еще логи
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Чисто.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 22
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) cherry81, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. win32.spybot.worm
      От Alex2k6 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.09.2011, 18:35
    2. W32.Spybot.Worm. (Требутся помощь)
      От ТЛеонид в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.10.2009, 16:28
    3. W32.Spybot.Worm
      От miser в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.09.2009, 16:09
    4. W32.Spybot.Worm
      От zanoza в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:43
    5. w32.spybot.worm
      От olegfed2006 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.10.2006, 22:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00482 seconds with 20 queries