Проверте логи пожалуйста, может чтото не долечил.
Заранее спасибо!
Проверте логи пожалуйста, может чтото не долечил.
Заранее спасибо!
Да уж...
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Пользователь\~tmp1174.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winos48.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Qva47.sys',''); QuarantineFile('C:\WINDOWS\system32\fci.exe',''); DeleteFile('C:\WINDOWS\system32\fci.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Qva47.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winos48.sys'); DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\0XSNGZOB\svvcchosts[1].exe'); DeleteFile('C:\Documents and Settings\Пользователь\~tmp1174.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportALL; BC_DeleteSvc('CcEvtSvc'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25263).
Сделайте новые логи.
Последний раз редактировалось Bratez; 24.06.2008 в 15:58.
I am not young enough to know everything...
Пока один
С помощью Ice Sword (http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip)
надо сделать Force Delete для следующих файлов:
C:\WINDOWS\System32\Drivers\Qva47.sys
C:\WINDOWS\System32\Drivers\Winos48.sys
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
и сразу после этого выполнить скрипт в AVZ:
После перезагрузки повторите логи, начиная с п.10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Qva47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winos48.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winos48'); BC_DeleteSvc('Qva47'); BC_Activate; RebootWindows(true); end.
Пришлите карантин повторно, он потерялся из-за сбоя на сервере.
Есть еще одно подозрение, которое надо проверить.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\пользователь\\local settings\\temporary internet files\\content.ie5\\0xsngzob\\svvcchosts[1].exe - Trojan-Downloader.Win32.Mutant.bg (DrWEB: Trojan.DownLoader.49586)
- c:\\documents and settings\\пользователь\\~tmp1174.exe - Trojan-Downloader.Win32.Mutant.q (DrWEB: Trojan.DownLoader.49586)
- c:\\windows\\svchost.exe - Trojan.Win32.Pakes.cje (DrWEB: Trojan.DownLoader.3750
- c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.cl (DrWEB: Trojan.DownLoader.35134)
Уважаемый(ая) MoPDBuH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.