Junior Member
Вес репутации
60
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Xfl74');
SetServiceStart('Xfl74', 4);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\Documents and Settings\Juikov\Local Settings\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xfl74.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Xfl74.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\Documents and Settings\Juikov\Local Settings\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Xfl74');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18506 ).
Обновите базы AVZ и сделайте новые логи.
Добавлено через 1 минуту
P.S. При выполнении скрипта и создании логов антивирус выключайте.
Последний раз редактировалось Bratez; 23.02.2008 в 03:32 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
Подозрение на троян
Огромное спасибо за помощь. Карантин отправил, высылаю новые логи.
Вложения
Уже лучше, но еще не все.
Код:
begin
SearchRootkit(false, true);
ClearQuarantine;
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xfl74', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
BC_DeleteSvc('Xfl74');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
BC_Activate;
DelWinlogonNotifyByKeyname( 'WLCtrl32');
RebootWindows(true);
end.
После перезагрузки сделайте новый лог syscheck (п.10 правил).
I am not young enough to know everything...
Junior Member
Вес репутации
60
Скрипт запустил. Высылаю новый лог syscheck.
Вложения
Упрямый он однако. Выполните такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xfl74\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
BC_DeleteSvc('Xfl74');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
BC_Activate;
RebootWindows(true);
end.
и снова лог syscheck.
Если этот не поможет, будем дихлофосом травить
Имеется небольшая вероятность, что после скрипта система не сможет запуститься. В таком случае в загрузочном меню через F8 выберите "Последняя удачная конфигурация".
P.S. У вас некорректная системная дата:
Сканирование запущено в 06.01.2000 3:41:28
I am not young enough to know everything...
Junior Member
Вес репутации
60
Обновил syschech, высылаю. Бежать за дихлофосом?
Вложения
обошлись без дихлофоса .... что хотели удалили ...
D:\ - это что CD ?
hijackthis.log - сделайте ...
Junior Member
Вес репутации
60
Да не, D: это логический диск на винтеЮ просто я туда скопировал весь загрузочный диск с виндой, поэтому он отображается как CD.
Вложения
выполните скрипт ...
Код:
begin
QuarantineFile('D:\AutoRun.exe','');
QuarantineFile('D:\autorun.inf','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
60
Junior Member
Вес репутации
60
Yes!!! Меня вылечили. Спасибо за помощь.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\juikov\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.djq (DrWEB: BackDoor.Bulknet.67) c:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Diehard.dr (DrWEB: Trojan.NtRootKit.497) c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496) c:\\windows\\system32\\wlctrl32.dll - Trojan.Win32.Small.agv (DrWEB: BackDoor.Bulknet.157)