-
Комп №3
Цель номер 3, последняя:
- наконец-то, заметил косяк с АВЗ, версия 4.32 базы обновил
- рабочая машина
- локальная сеть
- Интернет подключен постоянно, пользователь доверия не заслуживает
- значимый софт: DeviceLock, Crypto Pro 3.0, DrWeb ES 4.44.
- замечен в логах DrWeb ES, были вирусы разные, сейчас и не упомню какие, надо провериться
Логи:
Последний раз редактировалось PavelXT; 29.09.2009 в 12:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [advap32] "C:\Documents and Settings\user69.M19.001\Рабочий стол\.//..//~tmp1174.exe" /r/r/r/r/r/r/r/r/r/r/r/r/r/r/r/r/r/r/r
O4 - HKLM\..\Run: [msupdate] msupdate.exe
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\user69.M19.001\Рабочий стол\.\..\~tmp1174.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\Documents and Settings\user69.M19.001\Рабочий стол\.\..\~tmp1174.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('msupdate.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Wdi16');
BC_DeleteSvc('Vci38');
BC_DeleteSvc('Sye85');
BC_DeleteSvc('Rxd27');
BC_DeleteSvc('Msy63');
BC_DeleteSvc('Lrx63');
BC_DeleteSvc('Kqv51');
BC_DeleteSvc('Jpv06');
BC_DeleteSvc('Iou52');
BC_DeleteSvc('Iot28');
BC_DeleteSvc('Hns17');
BC_DeleteSvc('Gms52');
BC_DeleteSvc('Flr06');
BC_DeleteSvc('Flq62');
BC_DeleteSvc('Ekp63');
BC_DeleteSvc('Djo16');
BC_DeleteSvc('Djo06');
BC_DeleteSvc('Djo05');
BC_DeleteSvc('Bhm52');
BC_DeleteSvc('Bhm05');
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=54451).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Последний раз редактировалось PavelXT; 29.09.2009 в 12:47.
-
По логам больше ничего плохого не вижу.
-
-
Спасибо Осталось номер 2 дождаться.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-