-
Junior Member
- Вес репутации
- 62
Поймал Exploit
Доброго всем времени. посмотрте логи, сперва перстала загружатся аська, затем стали удалятся exe файлы. при проверке drweb он нашел exploit и при том еще при сканировании папки SVI ( неотоброжается вкладка восстановление системы) drweb вылетает даже в безопасном режиме, до конца drweb так мне систему и не просканил.
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
также закачал то что попало вкарантин
-
-
-
Junior Member
- Вес репутации
- 62
спасибо за быстрый ответ. у мя на дургом винте стоит еще одна ось (на такие случаи ) запустил отуда drweb тоже вылетел и тоже на сканировании SVI
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
DeleteService('ethwdejt');
QuarantineFile('C:\WINDOWS\system32\drivers\ethwdejt.sys','');
DeleteService('qusecovr');
QuarantineFile('C:\WINDOWS\system32\Drivers\qusecovr.sys','');
QuarantineFile('c:\documents and settings\admin\svchost.exe','');
TerminateProcessByName('c:\documents and settings\admin\svchost.exe');
QuarantineFile('C:\Documents and Settings\admin\xivusfl.exe ',' ');
DeleteFile('c:\documents and settings\admin\svchost.exe');
DeleteFile('C:\Documents and Settings\admin\xivusfl.exe ');
DeleteFile('C:\WINDOWS\system32\Drivers\qusecovr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethwdejt.sys');
DeleteFile('C:\WINDOWS\system32\codeblocks.exe');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ethwdejt');
BC_DeleteSvc('qusecovr');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 62
систему проверил логи прилагаю.
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteService('protect');
QuarantineFile('protect.sys','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
QuarantineFile('c:\documents and settings\admin\aknc.exe','');
DeleteFile('c:\documents and settings\admin\aknc.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('protect.sys');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
скачайте заново авз , повторите логи
-
-
Junior Member
- Вес репутации
- 62
авз скачал снова. логи прилагаю
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
-
-
-
Junior Member
- Вес репутации
- 62
сижу качаю обовление антивиря и буду проверятся с другого жесткого диска.
-
Junior Member
- Вес репутации
- 62
доброго всем времени. извеняюсь за поздний ответ, все боролся дабы не переносить сиситму.
скачал livecddrweb. просканил винт проблем не обнаружилось. ну подкмал все в порядке. гружусь а антиврь как начал ругатся, мне аж поплохело. думаю ладно фиг с ним. сношу symantec ставлю avast, перегружаюсь. при загрузке он нашел кучу фалой и причем все файлы только html. он их удалил. система вроде ожила,но появились глюки. не могу запустить не одну консоль, при открытии IE avast начинается ругатся на временные файлы. обновился сделал логи, прикладываю
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
-
Junior Member
- Вес репутации
- 62
что никто мне помочь не может
-
У вас по-прежнему файловый вирус...
-
-
Junior Member
- Вес репутации
- 62
HTML:Iframe-inf вот такой у мя фирус горит avast , но если у меня файловый вирус тогда почему livecd drweb ничего не нашел ??
-
Отправьте пару зараженных exe и html файлов в ВирЛаб Доктора [email protected] отправлять в запароленном архиве, пароль: virus
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\aknc.exe - Virus.Win32.Virut.ce
- c:\documents and settings\admin\svchost.exe - Virus.Win32.Virut.ce
- c:\windows\explorer.exe - Virus.Win32.Virut.ce
- c:\windows\services.exe - Trojan.Win32.Agent.bpap
- c:\windows\services.exe - Virus.Win32.Virut.ce
- c:\windows\system32\codeblocks.exe - Virus.Win32.Virut.ce (DrWEB: Trojan.Spambot.2424)
- c:\windows\system32\drivers\ethwdejt.sys - Rootkit.Win32.Pakes.jy
- c:\windows\system32\drivers\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
- c:\windows\system32\rdpssw32.exe - Virus.Win32.Virut.ce
- c:\windows\system32\userinit.exe - Virus.Win32.Virut.ce
-