-
Вирус ftpdll.dll и tcpsr.sys
Здпаствуйте.
Следуя вашим инструкциям др.веб нашёл ещё 3-4 вируса все трояны (у меня стоит Symantec Antivirus при старте операционке постоянно находит ftpdll.dll и tcpsr.sys), вроде все удалил и при загрузке симантек уже не ругается. Хотя я не уверен. Подробности в логах.
Последний раз редактировалось Ales K; 23.07.2008 в 17:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У вас очень старая версия AVZ, так не пойдет.
Скачайте версию 4.30, обновите ее базы и сделайте логи заново.
I am not young enough to know everything...
-
-
Исправился. Вот новые логи.
Последний раз редактировалось Ales K; 23.07.2008 в 17:35.
-
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:WinNt32.dll(если будет такой WinNt32.dl его тоже удалите),Yfl41.sys,tcpsr.sys,ftpdll.dll,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\winlogon.exe');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tag84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nta63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yfl41.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpsr.sys ',' ');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('c:\windows\temp\winlogon.exe','');
DeleteService('Nta63');
DeleteService('Tag84');
DeleteService('Yfl41');
DeleteFile('tcpsr ');
DeleteFile('c:\windows\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\tcpsr.sys ');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yfl41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nta63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tag84.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Nta63 ');
BC_DeleteSvc('Tag84 ');
BC_DeleteSvc('Yfl41 ');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22905
Повторите логи.
-
-
Карантин загрузил. При поиске файлов ftpdll.dll и tcpsr.sys не нашёл, поэтому и не удалил.
Последний раз редактировалось Ales K; 23.07.2008 в 17:35.
-
1. C:\WINDOWS\system32\userinit.exe следует заменить чистым из дистрибутива или скопировать из здоровой системы.
2. Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
3. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
userunit заменил. В HijackThis исправил только 09 и 020, 04 небыло (несколько раз запускал).
Последний раз редактировалось Ales K; 23.07.2008 в 17:35.
-
-
-
) Если это были последние действия, то нет. За помощь спасибо.