заразу удалил

**danko** · 20.12.2009, 19:21

заразу удалил, посмотрите пожалуйста хвосты.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 20.12.2009, 19:44

D:\ - это у вас что ?

**danko** · 20.12.2009, 20:04

флэшка, извините, знаю на ней какая-то дрянь живет, сегодня из командировки привез, все кроме нее интересует, сейчас сделаю логи без нее

**danko** · 20.12.2009, 20:47

новые логи без диска D

**danko** · 20.12.2009, 21:01

Посмотрите пожалуйста, я исправился.

**thyrex** · 20.12.2009, 22:10

Подключите флешку

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
 DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**danko** · 20.12.2009, 22:36

Карантин от предыдущего сканирования, или полученный с новыми логами?

**pig** · 20.12.2009, 22:44

Карантин после скрипта. Конкретно - файлы

Код:

D:\autorun.inf
C:\WINDOWS\System32\netprotocol.dll

**danko** · 20.12.2009, 23:11

Карантин послал и новые логи

Заодно еще один вопрос, при загрузке виндов выскакивает окно:
svcnost.exe - ошибка приложения, память не может быть written....

в реестре нашел ключи

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C: \\Program Files\\Internet Explorer\\svcnost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\A vgLdx86\svcnost]
@=""

убить?

**pig** · 21.12.2009, 06:13

Вот это пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe

**thyrex** · 21.12.2009, 15:42

+ к pig

netprotocol.dll - Backdoor.Win32.Buterat.bo
autorun.inf - Trojan.Win32.AutoRun.op

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
 DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**danko** · 22.12.2009, 00:44

новые логи

**thyrex** · 22.12.2009, 21:29

Выполните http://virusinfo.info/showpost.php?p...1&postcount=10

Больше плохого не увидел. Что с проблемой?

**danko** · 22.12.2009, 21:47

Вроде все хорошо.
Поблема ушла.
спасибо.

**thyrex** · 22.12.2009, 23:44

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8

**CyberHelper** · 23.12.2009, 23:44

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Cryptic.oh ( DrWEB: Trojan.Siggen.37577, BitDefender: Gen:Trojan.Heur.aK0brLvrjuoID, AVAST4: Win32:Malware-gen )
2. c:\windows\system32\netprotocol.dll - Packed.Win32.Krap.ai ( DrWEB: Trojan.Click.37869, AVAST4: Win32:FakeAlert-FO [Trj] )
3. d:\autorun.inf - Trojan.Win32.AutoRun.op ( BitDefender: Trojan.Script.245901, NOD32: Win32/AutoRun.KS worm )

заразу удалил (заявка № 64418)

Опции темы