-
Junior Member
- Вес репутации
- 57
Остатки вирусов, Darkness и svchost.exe
Попал мне в руки сильно зараженный компьютер. Пролечился CureIt! в безопасном режиме с СД-Р, просканировал AVZ4, по мере возможности вычистив в чем уверен, еще раз повторил операцию с CureIt!.
В сервисах не смог убить Darkness, хотя остановить получилось. Все равно сеть работает не стабильно (на этот компьютер нельзя зайти), а система играется с кучей портов - в логах видно.
Посмотрите, что я пропустил. Спасибо.
Последний раз редактировалось ALP; 29.10.2009 в 19:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethuffdu.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\762f91.sys','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('C:\WINDOWS\System32\drivers\762f91.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethuffdu.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
BC_ImportAll;
BC_DeleteSvc('762f91');
BC_DeleteSvc('ethuffdu');
BC_DeleteSvc('Darkness');
BC_DeleteSvc('protect');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=45996
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 57
Куча портов пропала. Карантин (весь, ведь в скрипте не было команды чистки карантина) закачал. Новые логи выложил.
Последний раз редактировалось ALP; 29.10.2009 в 19:13.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system\svchost.exe - Trojan-Proxy.Win32.Small.aak ( BitDefender: Generic.Malware.Yddld.A35DFCE3 )
- c:\windows\system32\drivers\ethuffdu.sys - HEUR:Backdoor.Win32.Generic ( BitDefender: Trojan.Rlsloupa.A )
-