-
Junior Member
- Вес репутации
- 55
проблема "обнаружено: потенциально опасное ПО 'Invader' (модификация)"
При проверке KAV 7 находит: "Заражен: троянская программа Trojan-Proxy.Win32.Agent.ox C:\WINDOWS\system32\drivers\wsnpoem.sys 3,5 КБ
", после постоянно выдает "15.04.2009 23:17:16 Процесс C:\WINDOWS\system32\winlogon.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация)." После перезагрузки вирус находится снова. Что делать? Заранее благодарен.
Последний раз редактировалось Олежка; 04.12.2009 в 18:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\wsnpoema.exe,
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\windows\system32\wsnpoema.exe','');
QuarantineFile('wsnpoem.sys','');
DeleteFile('c:\windows\system32\wsnpoema.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44076
Повторите логи.
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Олежка; 04.12.2009 в 18:58.
-
wsnpoema.exe_ - Trojan-Spy.Win32.Zbot.shr
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
в AVZ
Код:
begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\msoft98.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\msoft98.sys');
BC_ImportAll;
BC_DeleteSvc('NMIndexingService.sys');
BC_DeleteSvc('msoft98');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если в карантин что-то попало, то пришлите.
Пункт 2 диагностики повторите.
-
-
Junior Member
- Вес репутации
- 55
"Пункт 2 диагностики повторите."
Последний раз редактировалось Олежка; 04.12.2009 в 18:58.
-
в AVZ
Код:
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('NMIndexingService');
BC_Activate;
RebootWindows(true);
end.
Больше ничего плохого. Что с проблемам?
Установите Service Pack 3 (может потребоваться активация) + последующие обновления.
Установите Adobe Reader 9.1 или деинсталлируйте старый.
-
-
Junior Member
- Вес репутации
- 55
Огромное спасибо, все в порядке!!!!! "Установите Adobe Reader 9.1 или деинсталлируйте старый." - это обязательно???
-
Сообщение от
Олежка
"Установите Adobe Reader 9.1 или деинсталлируйте старый." - это обязательно???
Одно из двух - обязательно.
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Rene-gad
Одно из двух - обязательно.
- DEL? но теперь не могу деинстраллировать "CyberLink PowerDVD" KAV выдает
"19.04.2009 9:29:33 C:\WINDOWS\System32\RunDll32.exe Попытка загрузки нового или измененного модуля Ctor.dll в процесс.
19.04.2009 9:29:33 C:\WINDOWS\System32\RunDll32.exe Действие запрещено.
"
Добавлено через 2 минуты
* "- DEL?" удалил старый Adobe Reader.
Тоже самое с вордом "19.04.2009 9:33:17 C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE Действие запрещено.
19.04.2009 9:33:24 C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE Попытка загрузки нового или измененного модуля MSO.DLL в процесс.
19.04.2009 9:33:24 C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE Действие запрещено."
Последний раз редактировалось Олежка; 19.04.2009 в 10:35.
Причина: Добавлено
-
У Вас права администратора есть? Если Да - отключите на время удаления программ проактивную защиту Касперского или лучше всего - весь Антивирь.
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wsnpoema.exe - Trojan-Spy.Win32.Zbot.shr ( BitDefender: Trojan.Waledac.Gen.1 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-