Показано с 1 по 14 из 14.

Не могу избавиться от завирусованных файлов! (заявка № 24394)

  1. #1
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35

    Thumbs up Не могу избавиться от завирусованных файлов!

    NOD стал выдавать сообщения, типа: что файл c:\windows\system32\drivers\services.exe пытается скачать файл заражённый Win32/Statik.

    В реультате проверок и поисков было обнаружено, что имеются некие файлы ftp34.dll (аж 3 в разных местах) которые при проверке NODом определяются, как трояноносители и отправляются в карантин. Их можно удалить и вручную. Но после перезагрузки - они на месте.
    Помогите, пожалуйста!
    Последний раз редактировалось risla; 14.01.2009 в 11:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
    O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)
    O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
    O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
    O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKUS\S-1-5-18\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'Default user')
    O4 - Startup: userinit.exe
    O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe','');
     QuarantineFile('C:\Documents and Settings\vasilieva\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
     QuarantineFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe','');
     DeleteFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\WINDOWS\system32\ftp34.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\Documents and Settings\vasilieva\svchost.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('apcsvra32');
    ExecuteSysClean;
    ExecuteRepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24394).

    Удалите временные файлы IE через "Свойства обозревателя".
    Очистите папку C:\WINDOWS\Temp.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35
    Карантин отправил.
    Новые логи прилагаю.
    Но загрузка уже идёт нормально и файлы пропали.
    Последний раз редактировалось risla; 14.01.2009 в 11:51.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('apcsvra');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Повторите лог по стандартному скрипту 2.

  6. #5
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Повторите лог по стандартному скрипту 2.
    Прошу прощения, можно чуточку подробнее.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от risla Посмотреть сообщение
    Прошу прощения, можно чуточку подробнее.
    Правила пункт 10

  8. #7
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Правила пункт 10
    Значит я понял верно, но сомневался
    Последний раз редактировалось risla; 14.01.2009 в 11:51.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Антивирус во время выполнения скрипта нужно вылкючать.
    Найдите с помощью АВЗ (правила приложение 2) файл apcsvra.sys и пришлите (правила приложение 3)
    Еще один скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('apcsvra.sys','');
     DeleteFile('apcsvra.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Карантин закачайте, лог по п.10 повторите.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq
    apcsvra.dll - Trojan.Win32.Pakes.cot,
    ftp34.dll - Trojan-Downloader.Win32.Agent.nsx
    services.exe, svchost.exe1, svchost.exe, userinit.exe - P2P-Worm.Win32.Socks.ea

    VNCHooks.dll - чистый

  11. #10
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Антивирус во время выполнения скрипта нужно вылкючать.
    Выключал
    Найдите с помощью АВЗ (правила приложение 2) файл apcsvra.sys и пришлите (правила приложение 3)
    Не нашёл его. Поиск выдал: ошибка прямого доступа к файлу. Посмотрел в проводнике - нету.
    Карантин закачайте, лог по п.10 повторите.
    Скрипт выполнил. Лог прилагаю. Карантин закачиваю.
    Последний раз редактировалось risla; 14.01.2009 в 11:51.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    В логах чисто. Какие проблемы остались?

  13. #12
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    83
    Вес репутации
    35
    Вроде бы нет Спасибо огромное за решение проблемы!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Систему обновить в ближайшее время необходимо
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\k9yn0de3\\1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq (DrWEB: Trojan.Fakealert.745)
      2. c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      3. c:\\documents and settings\\vasilieva\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      4. c:\\documents and settings\\vasilieva\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      5. c:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302
      6. c:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      7. c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)


  • Уважаемый(ая) risla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавиться от файлов tmp.tmp
      От Sergey_67 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.11.2010, 06:29
    2. Ответов: 1
      Последнее сообщение: 22.10.2010, 19:26
    3. Ответов: 23
      Последнее сообщение: 27.09.2010, 19:13
    4. Ответов: 0
      Последнее сообщение: 20.09.2010, 21:36
    5. не могу избавиться
      От demmi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 07:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00404 seconds with 16 queries