Добрый день!
Столкнулся с подобным зверем, помогите пожалуйста избавиться. Логи прилагаются.
Благодарю!
Добрый день!
Столкнулся с подобным зверем, помогите пожалуйста избавиться. Логи прилагаются.
Благодарю!
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ps7alz2b.sys',''); QuarantineFile('C:\WINDOWS\system32\basesrv32.dll',''); QuarantineFile('.sys',''); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\PagingSYS.sys'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E cellSpacing=5 cellPadding=3 width=400}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
avz добила его да возможны проблемы Outpost при выполнении скрипта он должен быть отключен
Microsoft Most Valuable Professional in Consumer Security
Спасибо за помощь, оперативность и вообще! Карантин выслал. Действительно были проблемы с Outpost . С Наступающим!
Backdoor.Win32.IRCBot.avf C:\WINDOWS\svchost.exe
Добавлено через 7 минут
C:\WINDOWS\system32\basesrv32.dll
AntiVir 7.6.0.45 2007.12.16 HEUR/Crypted
Panda 9.0.0.4 2007.12.16 Suspicious file
Webwasher-Gateway 6.6.2 2007.12.16 Heuristic.Crypted
На всякий случай подождем ответа ВирЛаба
Добавлено через 19 минут
avz00002.dta, avz00003.dta, avz00004.dta
Вредоносный код в файлах не обнаружен.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что из этого не нужно?
Последний раз редактировалось rubin; 16.12.2007 в 22:54. Причина: Добавлено
Касперский передумал:
C:\WINDOWS\system32\basesrv32.dll - Trojan-PSW.Win32.Nilage.bvx
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin DeleteFile('C:\WINDOWS\system32\basesrv32.dll'); RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Сделайте новые логи.
Последний раз редактировалось AndreyKa; 23.12.2007 в 18:13.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.exe - Backdoor.Win32.IRCBot.avf (DrWEB: BackDoor.PifPaf)
- c:\\windows\\system32\\basesrv32.dll - Trojan-GameThief.Win32.Nilage.bvx (DrWEB: Trojan.Okuks.based)
Уважаемый(ая) Eagroup, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.