-
Junior Member
- Вес репутации
- 59
Помогите убить вируса
NOD32 отпределяет вируса TroyanDownloader.agent.NVZ
Описания его нет нигде. Удаляет, но после перезагрузки он появляется снова. Пробовал в безопасном режиме удалять ftpdll.dll из system32 и c:\documets and settings\localservise, а также с помощь скрипта через AVZ.
Но после перезагрузки он появляется снова и жрет трафик.
Не могу найти где же он прячется...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Давайте логи по правилам, постараемся Вам помочь.
-
Tell me, gipsy, can you see me in the crystal ball?...
Последний раз редактировалось Bratez; 19.02.2008 в 11:49.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось propp; 07.08.2008 в 17:02.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Производители\ОтоРиноЛаринго\UNI I.doc','');
QuarantineFile('C:\Производители\Комплексная поставка\Каталог\Оборудование Riester\UNI I.doc','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\gsplittm.sys','');
SetServiceStart('Schedule', 4);
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\Александр\local settings\application data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\ftpdll.dll','');
DeleteFile('C:\Documents and Settings\LocalService\ftpdll.dll');
DeleteService('Schedule');
DeleteFile('c:\documents and settings\Александр\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_DeleteSvc('Schedule');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил, карантин прислал
Скрипт выполнил, карантин прислал. Вроде полегчало.
-
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe Backdoor.Win32.Agent.eom
c:\documents and settings\Александр\local settings\application data\cftmon.exe Backdoor.Win32.Agent.eom
c:\windows\system32\drivers\spools.exe Backdoor.Win32.Agent.eom
gsplittm.sys- попробуйте поискать при помощи авз - сервис- поиск файлов на диске ... если найдется пришлите по правилам ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
Спасибо
Спасибо, ничего больше не нашел.
-
-
-
Junior Member
- Вес репутации
- 59
Новые логи
Высылаю новые логи, извинете за задержку
Последний раз редактировалось propp; 07.08.2008 в 17:02.
-
выполните скрипт ......
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxc61.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxc61.sys');
BC_DeleteSvc('Sxc61');
BC_DeleteSvc('gsplittm');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения з правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
Высылаю логи
Ничего не понял, но после выполнения скрипта карантин остался пустой.
Логи высылаю.
Последний раз редактировалось propp; 07.08.2008 в 17:02.
-
пофиксите ...
Код:
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
больше не вижу ничего подозрительного ...
какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 59