Остались ли вирусы?

**orangewood** · 19.02.2009, 14:44

Перестали запускаться программы из автозагрузки, в частности антивирус AVG 7,5 free editon. После запуска антивируса вручную тот стал постоянно ловить троян в файле video.sys и благополучно его вылечивать.
Полное сканирование дойдя процентов до 70 прервалось перезагрузкой системы. Spybote Search &Destroy ничего не дал,но во время его работы постоянно выпадало сообщение об ошибке в файле winhelp32.
NOD32 обнаружил следующее

Код:

 
D:\WINDOWS\system32\mmctl.sys - модифицированный Win32/Spy.Goldun.NDP троян
D:\WINDOWS\system32\webmin\VIDEO.bkp - Win32/PSW.Agent.NKH троян - удален
D:\FOUND.001\FILE0000.CHK - Win32/PSW.Agent.NKH троян - удален

Теперь вроде все работает ровно.
Остались ли в системе вирусы?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 19.02.2009, 14:52

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('D:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('D:\WINDOWS\System32\wm5dap.dll','');
 QuarantineFile('D:\WINDOWS\System32\msindeo.dll','');
 DeleteService('VIDEO');
 QuarantineFile('D:\WINDOWS\SYSTEM32\VIDEO.sys','');
 DeleteService('ntio256');
 QuarantineFile('D:\WINDOWS\System32\ntio256.sys','');
 DeleteService('Lpu83');
 QuarantineFile('D:\WINDOWS\System32\drivers\Lpu83.sys','');
 QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('D:\WINDOWS\System32\drivers\Lpu83.sys');
 DeleteFile('D:\WINDOWS\System32\ntio256.sys');
 DeleteFile('D:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('D:\WINDOWS\System32\msindeo.dll');
 DeleteFile('D:\WINDOWS\System32\wm5dap.dll');
 DeleteFile('ctlsys.dll');
 DeleteFile('D:\WINDOWS\system32\vmmreg32.dll');
 RenameFile('D:\WINDOWS\System32\sfcfiles.dll', 'D:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('D:\WINDOWS\System32\dllcache\sfcfiles.dll','D:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);    
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**orangewood** · 21.02.2009, 12:54

карантин отправил, в нем только один файл

логи:

**Bratez** · 21.02.2009, 15:12

Ничего зловредного больше не видно, но:
1. Система вообще без сервиспаков, это в то время как SP3 вышел почти год назад!
2. Работают сразу 2 антивируса, AVG и NOD, + видны остатки от Нортона.
Эти недостатки обязательно следует устранить.

P.S. Учитывая, что система скорее всего установлена очень давно, лично я не стал бы накачивать ее сервиспаками, а просто снес бы начисто и поставил свежую.

**orangewood** · 21.02.2009, 15:21

Большое вам спасибо!!!

**CyberHelper** · 22.02.2009, 15:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Остались ли вирусы? (заявка № 40051)

Опции темы