замучал этот Троян. неудаляется никак.
замучал этот Троян. неудаляется никак.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('zxsderfbukjfyshlhdfrstdzhdfa'); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfa.sys',''); QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); BC_QrSvc('zxsderfbukjfyshlhdfrstdzhdfa'); BC_ImportDeletedList; ExecuteRepair(6); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
. убрался троянище!
Сделайте новые логи.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделал повторно логи. проверьте, все ли правильно.
NDnet1.sys - поищите с AVZ
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
NDnet1.sys - как искать с AVZ?
Добавлено через 2 минуты
в папке Infected в AVZ сидят копии зараженных файлов. Что с ними делать?
Последний раз редактировалось Dim; 13.02.2008 в 07:45. Причина: Добавлено
http://virusinfo.info/showthread.php?t=4567
Добавлено через 31 секунду
Можно удалить.
Последний раз редактировалось Макcим; 13.02.2008 в 08:00. Причина: Добавлено
NDnet1.sys - AVZ не нашел. Какие дальнейшие дейсивия?
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) O3 - Toolbar: (no name) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - (no file)
Рекомендуется отключить все что вам не нужно из этого списка:Код:begin BC_DeleteSvc('NDnet1'); BC_Activate; RebootWindows(true); end.
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
а как отключить потенциально опасные службы?
Мы напишем скрипт....скажите, что вам не нужно?
Microsoft Most Valuable Professional in Consumer Security
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Win32.HLLW.Autoruner.1285)
- c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Trojan.MulDrop.6474)
- d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Win32.HLLW.Autoruner.1285)
- e:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Win32.HLLW.Autoruner.1285)
Уважаемый(ая) Dim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.