Был на сайте пенсионного фонда и поймал троянские вирусы которые загружали сетевой трафик.
Просьба помочь.
Был на сайте пенсионного фонда и поймал троянские вирусы которые загружали сетевой трафик.
Просьба помочь.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZPMStatus(true); SetAVZGuardStatus(true); QuarantineFile('sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\ndetect.exe',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\ntfyapp.exe',''); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('Rag21.sys',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('C:\DOCUME~1\D7DD~1\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('c:\docume~1\d7dd~1\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); DeleteFile('C:\WINDOWS\ntfyapp.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\ndetect.exe'); DeleteFile('sysfldr.dll'); ExecuteRepair(1); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
Высылаю карантин.
Последний раз редактировалось Макcим; 20.12.2007 в 10:31.
DefLib.sys - Trojan.Win32.Agent.asu
winlogon.exe - Trojan-Proxy.Win32.Small.hu
Повторите логи.
Повторяю логи
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll'); BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15453
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
А где прошлый карантин?Я его почему-то не нашёл...Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
очень интересует файл Rag21.sys,поищите его при помощи AVZ и пришлите по правилам.
1. Отключите восстановление системы!!
2. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rag21', 'Start'); RebootWindows(true); end.
3. Выполните еще один скрипт:
4. После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\Rag21.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\Rag21.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
(Загружать тут: http://virusinfo.info/upload_virus.php?tid=15453).
5. Сделайте новые логи.
I am not young enough to know everything...
Уважаемый(ая) Andranik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.