с помощью аваста, AVZ и хайджека поубивал вирусы, но есть подозрение, что не до конца.
хайджек не загрузить, пишет:
hijackthis.log:
Ваш файл занимает 22.7 Кбайт байт, что превышает предел на форуме в 19.5 Кбайт для этого типа файла.
с помощью аваста, AVZ и хайджека поубивал вирусы, но есть подозрение, что не до конца.
хайджек не загрузить, пишет:
hijackthis.log:
Ваш файл занимает 22.7 Кбайт байт, что превышает предел на форуме в 19.5 Кбайт для этого типа файла.
при загрузке аваста, он находит опять startdrv.exe в C:\WINDOWS\temp, пишет, Win32:Inject-DO [Trj], после чего обнаруживает вирус в системной памяти...
лог джека
выполните скрипт....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\startdrv.exe',''); QuarantineFile('C:\WINDOWS\Temp.$$$\startdrv.exe',''); QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll',''); QuarantineFile('fsmgmt.dll',''); QuarantineFile('Winlognotif.dll',''); QuarantineFile('copy.exe',''); QuarantineFile('C:\WINDOWS\system32\scrnsave.exe',''); QuarantineFile('C:\WINDOWS\system32\secpol.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); SetServiceStart('smtpdrv', 4); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\secpol.exe'); DeleteFile('copy.exe'); DeleteFile('fsmgmt.dll'); DeleteFile('C:\WINDOWS\Temp.$$$\startdrv.exe'); DeleteFile('C:\WINDOWS\TEMP\startdrv.exe'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('runtime2'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи....
все сделал, высылаю файлы
C:\WINDOWS\system32\drivers\runtime2.sys Rootkit.Win32.Agent.jp
C:\WINDOWS\system32\fsmgmt.dll Trojan-PSW.Win32.WOW.aic
C:\WINDOWS\Temp.$$$\startdrv.exe Trojan.Win32.Pakes.sb
C:\WINDOWS\TEMP\startdrv.exe Trojan.Win32.Pakes.sb
ConnectionServices - деинсталировать ...
пофиксите ...
выполните скрипт ...Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Policies\Explorer\Run: [scrnsave] C:\WINDOWS\system32\scrnsave.exe O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\
C:\WINDOWS\system32\scrnsave.exe , Winlognotif.dll -поищите при помощи авз ,,, если найдутся пришлите по правилам ..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll',''); DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll'); DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сделал... первый файл не нашелся, второй - выслал по правилам...
при выполнении скрипта аваст ругнулся (забыл отключить его), в логах записал:
Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\Drivers\vdiyodu4.sys" file
присланный файл чистый ...
пофиксите ...
повторите логи начиная с пункта 10 правил ...Код:O4 - HKLM\..\Policies\Explorer\Run: [scrnsave] C:\WINDOWS\system32\scrnsave.exe
все сделал...
Пофиксите в HijackThis:
Перезагрузитесь и повторите лог HijackThis.Код:F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
Посмотрите, нужно ли вам что-либо из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
вроде все норм, аваст тоже не ругается... спасибо большое
в логе чисто ...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\мито\\рабочий стол\\avz+hjt\\backups\\backup-20080129-160920-727.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.c (DrWEB: Trojan.BitAcc)
- c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.c (DrWEB: Trojan.BitAcc)
- c:\\program files\\connectionservices\\connectionservices.dll - not-a-virus:AdWare.Win32.BHO.jq (DrWEB: Adware.AdsTech)
- c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.jp (DrWEB: Trojan.NtRootKit.422)
- c:\\windows\\system32\\fsmgmt.dll - Trojan-GameThief.Win32.WOW.aic (DrWEB: Trojan.PWS.Wow)
- c:\\windows\\temp.$$$\\startdrv.exe - Trojan.Win32.Pakes.sb (DrWEB: Trojan.MulDrop.9341)
- c:\\windows\\temp\\startdrv.exe - Trojan.Win32.Pakes.sb (DrWEB: Trojan.MulDrop.9341)
Уважаемый(ая) judgesyd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.