Стали появляться сообщения внизу справа о том, что типа PC инфектед и при попытке закрыть самопроизвольно открывается какой-нибудь sanitardiska.com и пр. Пробывал выполнять скрипт в AVZ-не помогло. Прошу помощи!
Стали появляться сообщения внизу справа о том, что типа PC инфектед и при попытке закрыть самопроизвольно открывается какой-нибудь sanitardiska.com и пр. Пробывал выполнять скрипт в AVZ-не помогло. Прошу помощи!
Последний раз редактировалось drongo; 26.01.2008 в 14:32.
virusinfo_cure.zip уберите, вместо него должен быть virusinfo_syscure.zip .
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Super\LOCALS~1\Temp\ktalk.sys',''); QuarantineFile('C:\WINDOWS\System32\sen.dll',''); DeleteFile('C:\WINDOWS\System32\sen.dll'); DelBHO('{7FCF31C7-5276-4623-8C9A-08EEFAF6FE81}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17011).
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 6 минут
Зачем вам два фаервола? Фаервол, как и антивирус, должен быть в системе один.
Необходимо срочно исправить вот это:
т.е., установить SP2 + последующие обновления.Код:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
(Потребуется повторная активация, а ваш старый кряк не сработает!)
Последний раз редактировалось Bratez; 26.01.2008 в 07:21. Причина: Добавлено
I am not young enough to know everything...
Скрипт выполнил. Карантин отослал.
Вот свежие логи:
Свежие логи со свежим тараканчиком
Пришлите по правилам этот файл:
C:\Program Files\Internet Explorer\SETUPAPI.dll
I am not young enough to know everything...
Попытался убрать virusinfo_cure.zip из первого сообщения через окошко "управление вложениями". Не получилось-пишет, что у моего аккаунта нет прав на такие действия.
Не врубился про два файрвола. У меня вроде один установлен- outpost.
По поводу SP-2 для Windows: у меня после загрузки SP-2 через какое-то время начинаются проблемы с Windows. Т.е., складывается впечатление, что при загруженном обновлении, ОС система как то распознает, что имеет место "неофициальная" версия windows и начинаются сбои Автообновления вроде бы всегда отключаю
Добавлено через 11 минут
Выслал zip с файлом SETUPAPI.dll через virusinfo.info/upload_virus.php?tid=17011
Последний раз редактировалось terios; 26.01.2008 в 14:50. Причина: Добавлено
Насчет фаерволов - пардон, малость ошибся,
просто в логах видны пустышки от сервисов Trend Micro PC-Cillin.
SETUPAPI.dll - Trojan-Downloader.Win32.Agent.fny
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll'); BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll'); ExecuteSysClean; BC_DeleteSvc('PCCPFW'); BC_DeleteSvc('Tmntsrv'); BC_Activate; RebootWindows(true); end.
Сделайте еще раз два последних лога.
I am not young enough to know everything...
Скрипт выполнен. Вот логи:
Больше ничего зловредного не видно.
Сообщение об ошибке из-за отсутствия setupapi.dll не выскакивает?
Можно отключить для профилактики все ненужное из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Спасибо! Буду тестить.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sen.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.45437)
- \\setupapi.dll - Trojan-Downloader.Win32.Agent.fny (DrWEB: Trojan.PWS.Webmonier.30)
Уважаемый(ая) terios, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.