Один день отработал, и всё началось поновому.
Почемуто отключился брэндмауэр.
Вот логи новые. Заодно логи каспера.
Еле загрузил.
Вирус опять выплыл!!!
Один день отработал, и всё началось поновому.
Почемуто отключился брэндмауэр.
Вот логи новые. Заодно логи каспера.
Еле загрузил.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1BA99916-C62E-4878-BA17-D8EF5CEA69BD}: NameServer = 85.255.116.52,85.255.112.108 O17 - HKLM\System\CCS\Services\Tcpip\..\{6E0EF547-1AF1-4EE3-A044-995AEABC9687}: NameServer = 85.255.116.52,85.255.112.108 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.108 O17 - HKLM\System\CS1\Services\Tcpip\..\{1BA99916-C62E-4878-BA17-D8EF5CEA69BD}: NameServer = 85.255.116.52,85.255.112.108 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.108 O17 - HKLM\System\CS2\Services\Tcpip\..\{1BA99916-C62E-4878-BA17-D8EF5CEA69BD}: NameServer = 85.255.116.52,85.255.112.108 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.52 85.255.112.108 O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32- - C:\WINDOWS\ O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
Пришлите карантин и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); DeleteFile('C:\WINDOWS\system32\wstest.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин отправилю
Высылаю логи.
Файревол не могу включить серые кнопки.
wstest.dll на месте.
отключите антивирус ...
віполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); DeleteFile('C:\WINDOWS\system32\wstest.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добрый вечер. Но этот скрипт я уже пробовал.
Сейчас пишу с другого компа. Завтра попробую то что делал раньше.
Напомнюhttp://virusinfo.info/showthread.php?t=26520
Может ещё чего посоветуете?
В брандмауре были разрешения на доступ от файлов типа кат123 и тому подобных.
но он на сером фоне, включить его не могую
больной будет доступен завтра, но хотелось бы заранее подготовиться.
заранее спасибо. Жду ответа. Всётаки неудобно(непривычно) работать в суселюникс
C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 2 правил ...
Попробую но уже завтра/
Спасибою
Добавлено через 11 часов 13 минут
файл в карантин послал
Последний раз редактировалось pcmaster; 19.07.2008 в 10:34. Причина: Добавлено
userinit.exe - чистый ...
expmodule.exe - пришлите ....
Файл послал
Добавлено через 4 часа 41 минуту
Поставил wstest.dll доверительную зону. А то Каспер постоянно перезагружает винды, иногда даже не выходя на рабочий стол.
больше никаких глюков не наблюдается.
нашё ещё несколько непонятных файлов типа 3232145.ехе в system32, и iexplorer.exe в апликэшен дата.
может снести KIS и поставить другой антивирус. Другого выхода просто не вижу. Но всё же интересно доделать начатое.
Вопрос. А не может это быть ложным срабатыванием KIS ?
и если можно, за что отвечает( где используется) wstest.dll ? может кто знает.
Заранее благодарен за ответ.
Добавлено через 2 часа 35 минут
нехочется просто сносить Каспера,
Последний раз редактировалось pcmaster; 19.07.2008 в 18:30. Причина: Добавлено
wstest.dll - Backdoor.Win32.Small.eaj зловред и известный антивирусу ....
C:\WINDOWS\expmodule.exe - TR/Spy.Gen
обязательно отключите антивирус ....
віполните скрипт ...
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\expmodule.exe'); DeleteFile('C:\WINDOWS\system32\wstest.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Спасибо.
Вроде удалился, сейчас проверяю. Логи вышлю позже.
кстати он у меня опеределялся как Backdoor.Win32.Small.emw
я и не догадался удалить "expmodule.exe"
Вот логи
Посмотрим что будет завтра
Спасибо.
Доброе всем утра.
Вирусов никто ненаходит но, винды не загружаются( не выходят на рабочий стол). приходиться набирать explorer.exe.
Может кто поможет советом. Строка в реестре где( userinit) вроде правильная.
Прошу помочь.
Заранее благодарен.
ЗЫ. Теперь и на другом нет рабочего стола.
Панда находила wstest.dll(подозрительный файл) и переименовала. Наверное как-то перелез, или по сетке или ...
Куда прислать файлы, о которых я писал раньше. Есть подозрение что они могли запуститься?
Последний раз редактировалось pcmaster; 21.07.2008 в 10:47.
выполните скрипт ...
Код:begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); RebootWindows(true); end.
Спасибо. Я это пробовал,но не помогло.
Запустил восстановление виндов, счас закончиться и посмотрим.
ЗЫ. Винды теперь грузятся.
Спасибо всем. Большое!!!
А по поводу второго ящика, создать новую тему?
Последний раз редактировалось pcmaster; 21.07.2008 в 11:28.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\expmodule.exe - Trojan.Win32.Agent.advj (DrWEB: Trojan.Proxy.4392)
Уважаемый(ая) pcmaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
