-
Junior Member
- Вес репутации
- 63
Повторное лечение
Добрый день!
Около месяца назад лечился у вас один комп (не мой)...
ситуация описана здесь http://virusinfo.info/showthread.php?t=18773
хозяин лечение до конца довести не захотел - долго...(в частности не удалось вычистить файл-зловред Duf54.sys в system32\drivers)
первое время еще как-то можно было работать, теперь опять пошли жалобы на постоянное зависание компа, очень медленную работу в интернете.
nod при загрузке сообщает, что заражен системный файл taskmgr.exe, иногда ругается еще на services.exe...
сама в логах avz из "старых знакомых" увидела только C:\WINDOWS\System32\drivers\protect.sys, да и тот не запущен..
Duf54.sys не вижу
Извините, что логи не по правилам (не все), было всего 15 минут на все про все...
завтра проверю drweb и сделаю лог HijackThis...
может быть кто-то сможет пока оценить ситуацию исходя из того, что есть?
заранее благодарю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Duf54', 4);
SetServiceStart('protect', 4);
StopService('protect');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteService('protect');
BC_ImportALL;
BC_DeleteSvc('Duf54');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20117
Повторите логи
Последний раз редактировалось akoK; 19.03.2008 в 22:23.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 63
наконец добралась до "больного"...
скрипт выполнен без ошибок.
вот новые логи, посмотрите, пожалуйста
какие дальнейшие действия?
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
Junior Member
- Вес репутации
- 63
Файл сохранён как 080325_053315_virus_47e8d4eb61f4d.zip
Размер файла 658
MD5 ba9947934aa7bdb8d2a4a65c7ef17054
-
Предыдущие файлы успешно удалены, в карантин не попали.
Выполнить скрипт, прислать карантин.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sрoоlsv.exe','');
RebootWindows(true);
BC_ImportAll;
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
скрипт выполнен без ошибок.
карантин пуст
жду дальнейших указаний
-
Поищи этот файл через AVZ. Если не найдется, то надо просто профиксить эту строчку в логе HijackThis.
Второй вариант: повторить скрипт в Защищ. режиме (Safe Mode)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
этих файлов раньше было 2:
один из них с печатью связан, насколько помню...
второй - наверное левый-вредоносный... легко удалялся вручную...
сейчас попробую поискать
Добавлено через 16 минут
нашлись двое, вроде бы оба системные...
c:\windows\system32\dllcache\spoolsv.exe
c:\windows\system32\spoolsv.exe
совершенно идентичные по размеру (57856 б) и дате создания\изменения (02.03.06)
раньше 2 штуки spoolsv.exe лежали в c:\windows\system32\
один из них я удаляла вручную, помнится...
Добавлено через 10 минут
в защищенном режиме скрипт выполнился - карантин пуст
Добавлено через 20 минут
в HijackThis пофиксила
повторить логи?
Последний раз редактировалось lemurz9; 25.03.2008 в 15:49.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.
-
Выполнить скрипт. Повторить лог HijackThis
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-