Junior Member
Вес репутации
59
много троянов.
на компьютере нод32.
при заходе на одну из страниц вывалилось сообщение " Your computer was infected by unknown trojan ".
после этого начли загружаться бесчисленные окна.
троянов убиваю раз по 10 в день но образуются вновь.
не убиваем вроде тока этот процесс C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe.
как с этим всем бороться уже не знаю)
помогите
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А где лог virusinfo_sys cure.zip?
Добавлено через 4 минуты
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('wowfx.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ttn25.sys','');
QuarantineFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('Alce49.sys','');
QuarantineFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll','');
QuarantineFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll','');
QuarantineFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\docume~1\vika\locals~1\temp\services.exe','');
DeleteFile('c:\docume~1\vika\locals~1\temp\services.exe');
DeleteFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
DeleteFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
DeleteFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
DeleteFile('wowfx.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19183
Добавлено через 2 минуты
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [Streams Drivers] C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Vika\LOCALS~1\Temp\service s.exe
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Повторите логи...
Последний раз редактировалось akoK; 05.03.2008 в 00:54 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
в папке avz4\LOG ток 1 архив был =\
ща сделаю
еще. F2 не стираем. побовала уже.
После скрипта должен дать
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Вложения
Карантин пуст, в логах все на месте.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
BC_QrFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
BC_QrFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_QrFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
BC_QrFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
BC_QrFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
BC_QrFile('C:\WINDOWS\System32\Drivers\Alce49.sys');
BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
BC_QrFile('C:\WINDOWS\System32\CcEvtSvc.exe');
BC_QrFile('C:\WINDOWS\System32\Drivers\Ttn25.sys');
BC_DeleteFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_DeleteFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
BC_DeleteFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
BC_DeleteFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Alce49.sys');
BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
BC_DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ttn25.sys');
BC_DeleteSvc('Ttn25');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('Alce49');
BC_DeleteSvc('hipsrv');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: DrvMon - {06459882-645a-4458-b359-a04356322015} - C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll
O21 - SSODL: AvpChk - {81df1ce0-73cb-439c-a39e-dff2c1e90ebe} - C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll
O21 - SSODL: zip - {4ccb8a07-99ab-4dd2-a8a4-3efc55991618} - C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Ж) помоему services.exe пофиксен)))
и сure появился)
карантин отправлен)
Вложения
Отличный результат, осталось совсем чуть-чуть.
Выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{a952c4f2-5964-4148-8ce5-701ca4681c32}\zip.dll','');
DeleteFile('C:\WINDOWS\Installer\{a952c4f2-5964-4148-8ce5-701ca4681c32}\zip.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Поищите wowfx.dll через AVZ - Сервис - Поиск файлов на диске.
Если найдется - добавьте в карантин.
Пришлите карантин по правилам.
I am not young enough to know everything...
Junior Member
Вес репутации
59
ваще)) супер!!
большое большое вам спасибо)))))))))
Поиск файлов по маске wowfx.dll
найдено 0
вирус отправлен
Junior Member
Вес репутации
59
на всяк скину еще логи
Вложения
В логах всё нормально. Проблема решена?
Junior Member
Вес репутации
59
решена))
большое вам спасибо))
вы лучшие
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 15 В ходе лечения вредоносные программы в карантинах не обнаружены