Printable View
Объединили компы в сеть и откуда-то полезла эта напасть.
антивирус-аваст- ругается только на одной машине. периодически ругается на "тенгу" и удаляет экзешники, в основном в корне D: и в aplication data на с:. Диски открыты для записи по сети. Компов 3 шт. пока сеть отключил. просканил 3 раза - пусто. Помогите пожалуйста!
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gitntiep.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\WinMgmt.exe','');
DeleteFile('C:\WINDOWS\system32\gitntiep.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\vdnqyyj\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
авз выдал ошибку при прямом чтении gitntiep.dll и WinMgmt.exe "не могу поместить в карантин"
МВАМ нашел 21 инфекцию.
Жду дальнейших указаний. Спасибо.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [b]только указанные строки[/b] [code]Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-61WE-AAX2-5657QCA223212} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WINSOFT_SERVICE_CONTROLER (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSoft Service Controler (Backdoor.IRCBot) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken.
d:\1\1\Sting\Albums\2010 - symphonicities\Artwork\sting - symphonicities_booklet(3).jpg (Extension.Mismatch) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
[/code]
лог после удаления.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WinSoft Service Controler');
DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]