стоит постоянно включенный VBA но вирус все-равно пролез
постоянно появляются сессии к внешним smtp серверам
на компьютере стоит Radmin по причине его удаленности компьютера, через него и сохранялись логи
стоит постоянно включенный VBA но вирус все-равно пролез
постоянно появляются сессии к внешним smtp серверам
на компьютере стоит Radmin по причине его удаленности компьютера, через него и сохранялись логи
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Winot38.sys, C:\WINDOWS\system32\WinCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\temp\backups\backup-20080709-110538-579.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx73.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rwC73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm51.sys',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winot38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Bhm51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rwC73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx73.sys'); DeleteFile('WinCtrl32.dll'); BC_ImportAll; BC_DeleteSvc('Winot38'); BC_DeleteSvc('rwC73'); BC_DeleteSvc('Winrx73'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Bhm51'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26163
Повторите логи.
файл закачал,
только не назначил пароль на архив
АВЗ сама ставит пароль. Делайте новые логи. Как система?
выкладываю логи
сетевая активность не проявляется больше
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Проблемы какие-то наблюдаются?Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
огромное спасибо, вирусной активности больше не наблюдается
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\backups\\backup-20080709-110538-579.dll - Trojan-Spy.Win32.Iespy.bdw
- c:\\windows\\system32\\drivers\\rwc73.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\winrx73.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.bdw
Уважаемый(ая) igrek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.