даю логи. заранее спасибо за помощь.
даю логи. заранее спасибо за помощь.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); QuarantineFile('C:\WINDOWS\system32\Drivers\xccddchm.dat',''); QuarantineFile('C:\WINDOWS\system32\cdshell.dll',''); QuarantineFile('C:\WINDOWS\system32\adsldpci.dll',''); DeleteFile('C:\WINDOWS\system32\Drivers\xccddchm.dat'); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\system32\Drivers\xccddchm.dat'); BC_DeleteSvc('hqphcheq'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15408
спасибо за ответ! карантин выслал.
xccddchm.dat - Rootkit.Win32.Agent.ql
adsldpci.dll - Trojan.Win32.BHO.abo
Выполните скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\adsldpci.dll'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{B9DC5B72-C0A4-4B76-AD3C-82C4FDDA32CE}'); BC_DeleteFile('C:\WINDOWS\system32\adsldpci.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
даю новые логи. похоже, проблема решена.
буду благодарен за скрипт по удалению уязвимостей.
З.Ы. при наборе этого сообщения постоянно выскакивало окно управления вложениями (логи были вложены перед набором текста). к чему бы это?
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); QuarantineFile('C:\DOCUME~1\stadler\LOCALS~1\Temp\catchme.sys',''); BC_Importall; BC_Activate; RebootWindows(true); end.
От зараза...
Файл сохранён как071218_064239_virus2_4767c03f730d5.zip...
catchme - это вроде антируткит такой. Если не нужен, можно прибить его драйвер:
Насчет потенциальных уязвимостей - вот:Код:begin DeleteService('catchme'); end.
Автозапуск CD оставил. Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
объясните чайнику, что есть антируткит, откуда он взялся и зачем может быть нужен?
это не часть spyware terminator'а?
>> что есть антируткит
Программа для выведения руткитов на чистую воду
>> откуда он взялся
Значит сами не ставили - тогда выполните маленький скрипт из сообщения выше, хуже не станет точно
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\adsldpci.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.37561)
- c:\\windows\\system32\\drivers\\xccddchm.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
Уважаемый(ая) diaz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.