-
Junior Member
- Вес репутации
- 62
Каспер Virus Removal Tool споймал такую штуку - Exploit.JS.Pdfka.ec
Доброго времени суток, уважаемые!
Может проблема и не в вирусах, но всё по порядку.
Коллега попросил посмотреть "что то с компьютером"
В ходе выизуальных наблюдений выяснилось, что антивирь EAV_3.0 требует пароль и как оказалось уже на протяжении последнего месяца. Так как ключи надо заказывать, а это затягивается ещё на месяцы, я решил поставить не совсем лицензионный, на время, тот же EAV (принёс на флешке). Снёс предыдущий, перегрузил и получил затык на странице приветствия Грешу на флешку, вынимаю её во время очередного перегруза и.... ничего не меняется - затык на странице приветствия.
Прошерстил по Правилам сначала CureIT`ом - 0 эмоций, зато Каспер Virus Removal Tool споймал такую штуку - Exploit.JS.Pdfka.ec и ещё такую Trojan.Win32.Agent.bvwt. Проверил эти файлы на сайте косперского там дали положителльный результат, закрыл пока их в карантин. Решил обратится к Вам. Сделал скрипты в безопасном режиме (потому как войти в систему могу только так). Пишу так же из безопасного. Прошу помощи!!!
Заранее благодарю!!!
Логи прилогаю.
Последний раз редактировалось nip; 06.05.2010 в 00:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пока так, наверное: программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\svjkglyib.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\svjkglyib.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\svjkglyib.sys');
DeleteService('rjvvvxxst');
BC_DeleteSvc('rjvvvxxst');
BC_Importquarantinelist;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=42042 , как написано в прил.3 правил, попробуйте загрузиться в нормальном режиме и, если получится, повторите логи.
Последний раз редактировалось Numb; 19.03.2009 в 15:51.
Причина: очепятка
-
-
Junior Member
- Вес репутации
- 62
После выполнения скрипта удалось зайти в нормальном режиме.
Вот карантин:
Результат загрузки
Файл сохранён как 090319_163025_virus_49c248f1e89a8.zip
Размер файла 60436
MD5 05989678d4c811282eef5cf4234296e0
Файл закачан, спасибо!
Логи следом.
Последний раз редактировалось nip; 19.03.2009 в 16:45.
-
Junior Member
- Вес репутации
- 62
Вот обещинные логи.
Ещё вопрос. Что делать с теми двумя файлами, что я закрыл в карантин VRT от Каспера: "обнаружено: троянская программа Exploit.JS.Pdfka.ес Файл: C:\Documents and Settings\Владимир\Local Settings\Temp\plugtmp\plugin-pdf.php//data0000" и "обнаружено: троянская программа Trojan.Win32.Agent.bvwt Файл: C:\WINDOWS\Temp\SYSCDF.tmp.exe" ???
Собсно с них всё началось, я так мыслю
Последний раз редактировалось nip; 06.05.2010 в 00:28.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 62
Папка карантина пуста
Сообщение от
nip
Ещё вопрос. Что делать с теми двумя файлами, что я закрыл в карантин VRT от Каспера: "обнаружено: троянская программа Exploit.JS.Pdfka.ес Файл: C:\Documents and Settings\Владимир\Local Settings\Temp\plugtmp\plugin-pdf.php//data0000" и "обнаружено: троянская программа Trojan.Win32.Agent.bvwt Файл: C:\WINDOWS\Temp\SYSCDF.tmp.exe" ???
Собсно с них всё началось, я так мыслю
Логи следом.
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось nip; 06.05.2010 в 00:28.
-
Файлы в карантине можно удалить.
Пришлите файл
C:\WINDOWS\System32\sfcfiles.bak
так, как написано в приложение 2 Правил.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
AndreyKa
Пришлите файл C:\WINDOWS\System32\sfcfiles.bak так, как написано в приложение 2 Правил.
Карантин сделал по правилам, но во время отправки IE6 сбойнул (Невозможно отобразить страницу...бла-бла-бла) проверте пожалуйста прошла закачка или нет???
Сообщение от
AndreyKa
Установите Adobe Acrobat Reader 9.1 или удалите старый.
С этим сейчас разберусь
-
sfcfiles.bak не дошел, но это и не обязательно.
Как вообще, компьютер в прорядке?
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
AndreyKa
sfcfiles.bak не дошел, но это и не обязательно.
Как вообще, компьютер в прорядке?
Если не нужен тогда я удаляю папка с АВЗ???
Adobe Reader 9.1 поставил. Видимых проблен не наблюдаю. Антивирь встал как родной.
-
Можете удалить
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\svjkglyib.sys - Rootkit.Win32.Agent.ilw
-