Sladkoff Posted April 1, 2008 Report Share Posted April 1, 2008 Добрый день! Схватил вирусы с какого то строительного сайта.. от одного избавился предложенным на форуме методом, подскажите что делать с другим? Вот что пишет NOD32: Rootkit.Agent.NEP trojan C:\Docume~1\C4C4~1\LOCALS~1\Temp\5B64.tmp C:\Windows\System32\drivers\spools.exe hijackthis.rar avz_sysinfo.htm avz_sysinfo.htm hijackthis.rar Quote Link to comment Share on other sites More sharing options...
Sladkoff Posted April 1, 2008 Author Report Share Posted April 1, 2008 вот скрины с NOD32 Quote Link to comment Share on other sites More sharing options...
Matias Posted April 1, 2008 Report Share Posted April 1, 2008 Логи не те. Прочитайте этот пост и повторите их. Quote Link to comment Share on other sites More sharing options...
Sladkoff Posted April 2, 2008 Author Report Share Posted April 2, 2008 ага вот логи, проверьте пожалуйста!! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Quote Link to comment Share on other sites More sharing options...
Sladkoff Posted April 2, 2008 Author Report Share Posted April 2, 2008 ребята помогииитеее!!!! помоему он жрет комп!!! перестал видеть принтер!!! Quote Link to comment Share on other sites More sharing options...
Pili Posted April 2, 2008 Report Share Posted April 2, 2008 Sladkoff: В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe');TerminateProcessByName('c:\windows\system32\drivers\spools.exe');StopService('Schedule');SetServiceStart('Schedule', 4);QuarantineFile('c:\windows\system32\drivers\spools.exe','');QuarantineFile('C:\Documents and Settings\Дима\cftmon.exe','');QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');QuarantineFile('C:\WINDOWS\system32\baserbdvr32.dll','');QuarantineFile('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe','');DeleteService('Schedule');DeleteFile('c:\windows\system32\drivers\spools.exe');DeleteFile('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe');DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');DeleteFile('C:\Documents and Settings\Дима\cftmon.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется) O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exeO4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Дима\cftmon.exeO4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exeO4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Дима\cftmon.exeO4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\winlogon.exe удалите ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 повторите логи virusinfo_syscheck.zip, hijackthis.zip Quote Link to comment Share on other sites More sharing options...
Sladkoff Posted April 2, 2008 Author Report Share Posted April 2, 2008 короче дохрена я нахавал их гдета.. переустановил винду.. извиняюсь за беспокойство, спасибо!! Quote Link to comment Share on other sites More sharing options...
ТроПа Posted April 5, 2008 Report Share Posted April 5, 2008 Sladkoff: зря винду переустановили - это очень просто было вылечить. Quote Link to comment Share on other sites More sharing options...
andrey73 Posted April 29, 2008 Report Share Posted April 29, 2008 народ подскажите хватанул трояна нашел где а он не удаляется, решил пока поставить COMODO Firewall Pro, так теперь после каждого открытия нового сайта просит либо подтвердить или запретить открытие. Все очень подозрительно. Подскажите как удалить трояна и хотелось бы узнать по эту прогу хороша или нет и правильно ли это что просит подтверждения постоянно :) Quote Link to comment Share on other sites More sharing options...
Pili Posted April 30, 2008 Report Share Posted April 30, 2008 andrey73: comodo отличный файрвол, только важно его правильно настроить. Выполните правила оформления запроса и в новой теме выложите логи Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.