Junior Member
Вес репутации
55
Не удаляются трояны Panda, Siggen, AutoFake и пр.
Здравствуйте, помогите удалить трояны!
CureIt в Safe mode находил Panda, Siggen, AutoFake, Autorun, спамбота и пр. Всплывало окно "отправь смс", тормозил svhost, не запускались программы, слетало на синий экран с сообщением о повреждении памяти и проч. NOD при включении флешки находил Autorun-червя, но как обычно и после удаления он тут "отрастал" снова.
Заранее спасибо!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\riodrv.exe');
QuarantineFile('c:\windows\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQ3G567\pin[2].exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQ3G567\pin[2].exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46362
3. Повторите логи.
Добавлено через 2 минуты
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3E7A63D-5763-45BB-807C-9FC7A284A92E}: NameServer = 80.71.244.244 80.71.245.245
Эти адреса Вам известны? Если нет, то пофиксите.
Последний раз редактировалось Aleksandra; 23.05.2009 в 04:21 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Aleksandra спасибо!
1. Отключил (уже были отключены).
2. Выполнил, карантин залил.
3. Логи загрузил, адреса не знаю, пофиксил - появилось снова (может это от интернета? - у меня WAN PPPoE)
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
DeleteFile('riodrv.exe');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
Добавлено через 43 секунды
Сообщение от
Sapratigs
3. Логи загрузил, адреса не знаю, пофиксил - появилось снова (может это от интернета? - у меня WAN PPPoE)
Адреса Ваши. Не трогайте их!
Последний раз редактировалось Aleksandra; 23.05.2009 в 05:21 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
1. Отключены.
2. Выполнил.
3. Повторил.
А флешку, где autorun сидел, чем лучше полечить?
Еще раз спасибо!
Вложения
Ничего зловредного в логах нет.
Добавлено через 36 секунд
Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Добавлено через 2 минуты
Сообщение от
Sapratigs
А флешку, где autorun сидел, чем лучше полечить?
Логи нужно было сделать со вставленной флэшкой, если знали о ее заражении.
Последний раз редактировалось Aleksandra; 23.05.2009 в 05:47 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Цитата:
Сообщение от
Sapratigs
А флешку, где autorun сидел, чем лучше полечить?
Логи нужно было сделать со вставленной флэшкой, если знали о ее заражении.
Флешка была вставлена, на всякий случай решил уточнить, спасибо!
Сердце решает кого любить... Судьба решает с кем быть...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\program files\microsoft common\svchost.exe - Trojan.Win32.Inject.aaxf ( BitDefender: Gen:Trojan.Heur.Hype.20708F8F8F ) c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\opq3g567\pin[2].exe - Trojan.Win32.Buzus.baxu ( DrWEB: Trojan.PWS.LDPinch.4308 ) c:\windows\system32\riodrv.exe - Trojan-PSW.Win32.Agent.mza ( BitDefender: Rootkit.19807 )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !