Завёлся троян

[akoK]

Radmin Server support driver - ваше?

 

Помойка однако....отключите востановление системы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Krw17', 4);
SetServiceStart('Jpv38', 4);
SetServiceStart('Schedule', 4);
QuarantineFile('C:\WINDOWS\Installer\{B2D41883-3BFC-4BA0-A2F6-5A2C9836C238}\ARPPRODUCTICON.exe','');
QuarantineFile('C:\WINDOWS\Installer\469f8.msi','');
QuarantineFile('bsndcom.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('F:\WWW\etc\Run.exe','');
QuarantineFile('E:\Easy File Sharing Web Server\fsws.exe','');
QuarantineFile('C:\Winamp\winampa.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE','');
QuarantineFile('C:\WINDOWS\RESOUR~1\SCREEN~1\SOLARW~1.SCR','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpv38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krw17.sys');
DeleteFile('C:\Documents and Settings\Рома\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('sysfldr.dll');
DeleteFile('bsndcom.dll');
DeleteFile('C:\System Volume Information\_restore{543C3F64-BBA1-439D-92AD-BD82A13043FC}\RP132\A0143173.exe');
DelBHO('{0DE68A8A-8158-4bde-8F5F-849F00AF31FB}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('Krw17');
DeleteService('Jpv38');
DeleteService('Schedule');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(1);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: sysfldr - sysfldr.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webshots.com/r/internal/start/client/RAND (file missing)

Повторите логи.

P>S> а обновить базы AVZ не забываем.

Изменено 24 июня, 2008 пользователем akoK

[MedvedevUnited]

akok, обновление баз AVZ не получалось. Я сказал пока, не обновляясь, логи делать. Правда сейчас можно снова попробовать.

[akoK]

akok, обновление баз AVZ не получалось

скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip ... затем распакуете ...

[neonsite]

проблема avz не запускаеться что за чёрт жму запустить и 0 реакции

 

сори всё запустил щас всё сделаю!

Изменено 24 июня, 2008 пользователем neonsite

[akoK]

Вот как

(удалил)

P>S> BitAccelerator - удалите (спс. vidocq89)

Изменено 24 июня, 2008 пользователем akoK

[neonsite]

Вот как

(удалил)

P>S> BitAccelerator - удалите (спс. vidocq89)

Удалил щас отправляю на newvirus*kaspersky.com тот архив шо дальше делать )

[MedvedevUnited]

В HijackThis все пофиксили, что akok сказал? И скрипт тоже выполнили? Если да, делайте новые логи.

[neonsite]

Логи:

1) virusinfo_syscure.zip

2) virusinfo_syscheck.zip

Вот ещё посмотрите на скрины что это за файл? http://forum.kasperskyclub.ru/index.php?s=...ost&p=50903

Сообщение #12

 

Всё ура большое спасибо возможно это всё я делал правельно КАВ нашёл этот вирус! после того как сёдня поставил сегоднешние обновый вирус

 

удалено: троянская программа Trojan-Downloader.Win32.Small.xpi Файл: C:\WINDOWS\system32\explorer.dll

 

удалено: троянская программа Trojan-Downloader.Win32.Small.xpi Файл: c:\documents and settings\рома\svchost.exe

Изменено 24 июня, 2008 пользователем neonsite

[ТроПа]

BitAccelerator - зачем Вам? Сомнительное уобство и слежка за Вами.

Совет - отключите Восстановление системы, там, скорее всего, копии Ваших врагов и при откате они могут вернуться.

Выполните для контроля в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Рома\svchost.exe');
DeleteFile('C:\WINDOWS\system32\explorer.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьтер перезагрузиться.

Повторите логи АВЗ и сделайте лог HJT.