TrojanDownloader.Wigon.BS достал в конец
NOD32 пишет о наличии этого виря.
Пишет, что заражен объект типа C:\WINDOWS\system32\drivers\***.sys
Появляются файлы с заразой в Temp.
CureIt нашел заразу в виде файла имя_учетной_записи.exe
Хелп ми, плизз.
ЗЫ. Забыл добавить InetAccess.exe - это файлик для подключения к интернету
через сервер.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить:
Загрузить карантин по красной ссылке.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('amd64si'); DeleteService('ws2_32sik'); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('port135sik'); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('acpi32'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteService('fips32cup'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Последний раз редактировалось PavelA; 31.03.2009 в 16:44. Причина: Добавил еще несколько
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал.
Два карантина выслать не смог. Они из PartitionMagic, как пишет
AVZ - PE файлы с нестандартным расширением.
Карантины высылать по красной ссылке
Отсюда удалить.
Добавлено через 2 минуты
Добьем:
После этого сделать лог по п.2 Правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('netsik'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 31.03.2009 в 18:06. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('netsik'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42901
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
выполнил скрипт от Aleksandra
карантин с netsik.sys отправил,
логи прикладываю на всякий случай все
Спасибо за помощь
В логах малваре не увидел.
Советую вот с этим разобраться:
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) SnowDm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
