На компьютере установлена антивирусная программа Symantec AntiVirus. Она показывает при включении компьютера, что файл ip6fw.sys отправлен в изолятор, т.к. обнаружен Trojan.Pandex.
Выполнила все Ваши ПРАВИЛА.
Что Дальше?
На компьютере установлена антивирусная программа Symantec AntiVirus. Она показывает при включении компьютера, что файл ip6fw.sys отправлен в изолятор, т.к. обнаружен Trojan.Pandex.
Выполнила все Ваши ПРАВИЛА.
Что Дальше?
Логи надо к теме прикрепить.
Первый раз когда обращалась, то все файлы "вкладывала". Но произошел какой-то сбой при формировании сообщения и при последующем востановлении все время показывало, что есть вложенные файлы (указывался объем файлов, но имена этих файлов отсутствовали).
Сейчас, кажется, получилось вложить файлы.
@Елена
ИМХО такая же проблема описана тут : http://forum.kaspersky.com/index.php?showtopic=31974.
Попробуйте использовать и решения, тем более что они предложены хелперами из этого форума .
Закройте все программы.
Отключитесь от Интернета.
Отключите Symantec AntiVirus.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); ClearQuarantine; QuarantineFile('C:\Program Files\system101\system101.dll',''); QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys',''); QuarantineFile('\??\C:\WINDOWS\system32\main.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('c:\windows\system32\ws2_32.dll:fork2:$DATA',''); CreateQurantineArchive(GetAVZDirectory+'8783_quarantine.zip'); RebootWindows(True); end.
Загрузите файл 8783_quarantine.zip из папки AVZ, используя эту ссылку.
По классификации KAV присланные файлы:
C:\Documents and Settings\All Users\Документы\Settings\bn.dll - Trojan-Proxy.Win32.Xorpix.ar
c:\windows\system32\ws2_32.dll:fork2:$DATA - Trojan.Win32.Pakes
C:\WINDOWS\system32\main.sys - Rootkit.Win32.Agent.el
Закройте все программы.
Отключитесь от Интернета.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll'); DeleteFile('c:\windows\system32\ws2_32.dll:fork2:$DATA'); DeleteFile('C:\WINDOWS\system32\main.sys'); BC_ImportDeletedList; BC_DeleteSvc('EXAMPLE'); BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(True); end.
Сделайте новые логи и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.
Последний раз редактировалось AndreyKa; 14.04.2007 в 14:32. Причина: подправил скрипт
Выполнила. Прикладываю файлы.
Враг повержен . Осталось пофиксить:
Код:O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - C:\Program Files\system101\system101.dll (file missing) O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing) O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing) O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - O20 - Winlogon Notify: bnreg - C:\WINDOWS\
Выполнила "профиксить".
Что-то нужно делать еще?
После перезагрузки сделать новый лог HijackThis и приложить к теме.
И скажите, обнаруживает ли теперь Symantec AntiVirus Trojan.Pandex.
Symantec AntiVirus не показываетTrojan.Pandex.
Меня удивляет, что Symantec AntiVirus вообще что-нибудь находит.
Важно: на ПК работает служба, которая определённо не принадлежит к службам Виндоуз
Попробуйте её остановить и проверить ПК в безопасном модусе чем-нибудь порядочным, напр. CureIt от Dr.Web или eScan от MWAWO23 - Service: Sr108pv - Корпорация Майкрософт - (no file)
Как остановить эту службу?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Целый день провозилась скачивая CureIt. Процесс скачивания постоянно зависал. Затем попросила, чтобы переслали по почте. И здесь проблема (в gmail нельзя передавать EXE, пришлось передавать архив, который постоянно давал сбой при разархивации).
Причина оказалась очень простая - включена была защита Symantec AntiVirus. После отключения все прошло.
Протокол CureIt:
avz00001.dta C:\999\avz4\Infected\2007-04-14 Trojan.LowZones.211 Удален.
avz00002.dta C:\999\avz4\Infected\2007-04-14 Trojan.DownLoader.17776 Удален.
avz00003.dta C:\999\avz4\Infected\2007-04-14 Trojan.DownLoader.17776 Удален.
avz00004.dta C:\999\avz4\Infected\2007-04-14 Dialer.Inkont
1.exe C:\WINDOWS Trojan.PWS.LDPinch.1614 Удален.
В порыве строка O23 - Service: Sr108pv - Корпорация Майкрософт - (no file)
была отправлена нажатием кнопки Add checked ignorelist.
Первый вопрос - нужно ли восстанавливать эту строку и как?
Второй вопрос - что делать дальше?
Проверьте на компьютере настройки DNS сервера.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.Код:begin SetAVZGuardStatus(True); DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263'); DeleteService('Sr108pv', false); ExecuteSysClean; SetAVZGuardStatus(false); end.
Плохие новости1.exe C:\WINDOWS Trojan.PWS.LDPinch.1614 Удален.
Возможно все пароли с этого компьютера (почта, ICQ, доступ к сайтам и т.д.) были украдены. Настоятельно рекомендую поменять все пароли.
Все выполнила.
Что дальше?
Огромное спасибо ВСЕМ, кто помогал.
Уважаемый(ая) Елена, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.