Avira находит WORM/Ntech.AA, Spyboot - Murlo.ff, AVZ - подозрение на Agent. Ничем не лечица. Help please!
P.S. Симптомов вроде не видно. Avira при каждой перезагрузке ругается, но сделать ничего не может.
Avira находит WORM/Ntech.AA, Spyboot - Murlo.ff, AVZ - подозрение на Agent. Ничем не лечица. Help please!
P.S. Симптомов вроде не видно. Avira при каждой перезагрузке ругается, но сделать ничего не может.
Авира, спайбот, Касперский, остаток Симантека - не много ли для одного компьютера?
Отключить антивирус и спайбот.
Выполнить скрипт:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\_svchosta.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\_svchosta.exe'); BC_DeleteFile('C:\WINDOWS\system32\_svchosta.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 11 минут
@drongo Я еще не все написал в скрипт. Это так первая порция.
Последний раз редактировалось PavelA; 26.02.2008 в 19:28. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Дык до этого были еще вирусы, а идеального антивиря нету, вот приходилося лечить всяким разным.
карантин выслал.
Повторяйте логи с п.10 Правил, карантин сейчас проверю
Добавлено через 2 минуты
Trojan.Win32.Agent.dfa C:\WINDOWS\Temp\startdrv.exe
Rootkit.Win32.Agent.pq C:\WINDOWS\system32\drivers\ctl_w32.sys
Последний раз редактировалось rubin; 27.02.2008 в 18:01. Причина: Добавлено
что-то не понял. зашел второй раз, а моего сообщения уже нету?
повторю на всякий случай: карантин загрузил
Логи вообще-то полный комплект сделать, там еще есть над чем поработать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
новые логи
Выполните:
Карантин пришлите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\system32\w32sys5.exe',''); DeleteFile('C:\WINDOWS\system32\w32sys5.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('atiddaxx.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; BC_DeleteSvc('ctl_w32'); BC_DeleteSvc('RasMan'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пофиксьте:
Удалите лишние антивирусы, оставив 1.Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - Winlogon Notify: atiddaxx - atiddaxx.dll (file missing) O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file) O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file) O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file) O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - (no file)
Затем повторите логи с п.10 Правил
в карантине пусто. антивирь оставил тока Авиру.
новые логи
ничего зловредного влогах ....правда нет вашего последнего карантина , на сайте касперского возьмите деинстолятор для вашей версии и почистите следы ...
дык пусто в карантине. или все равно выслать?
тогда не стоит ...
Ежели пусто то можно и не слать.
что-то мне лог HJ не понравился.
Поищите через AVZ след. файлы:
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\rsvp.exe
Их действительно нет, или это HJ врет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
данные файлы не найдены. пока вроде все ок. понаблюдаю еще.
всем спс.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ctl_w32.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496)
- c:\\windows\\temp\\startdrv.exe - Trojan.Win32.Agent.dfa (DrWEB: BackDoor.Bulknet.105)
Уважаемый(ая) Rams, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.