На этот раз решил вычистить рабочий компьютер)) Подозреваю. что здесь та же история, что и на домашнем))
Printable View
На этот раз решил вычистить рабочий компьютер)) Подозреваю. что здесь та же история, что и на домашнем))
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msapp.exe','');
QuarantineFile('C:\WINDOWS\svchost.dll','');
BC_DeleteSvc('pe386');
BC_DeleteFile('C:\WINDOWS\system32:lzx32.sys');
BC_DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам.
Советую срочно обратиться к администрации. У вас там троян ворующий пароли вместе с руткитом и ещё мелочь .
Пусть меняют пароли немедленно на всё.
Дополню. После выполнения логов, запустил Доктора вэба, что здесь на форуме выложен. Он обнаружил как раз в файле svchost.dll троян - Snaked и удалил его. Аналогичный троян был обнаружен в файле regwinboot.exe. Тоже удален.
По поводу паолей мне не о чем беспокоиться. Я на этом компе ничего не храню секретного)) И он один, не в сети с другими.
вы пришлите всё таки карантин, они нам тоже нужны ;)
[QUOTE]После выполнения скриптов, запустил Доктора вэба, что здесь на форуме выложен.[/QUOTE]
Это следовало сделать [B]до [/B]выполнения скриптов, в правилах об этом написано. Интересует файл 'msapp.exe', если его не окажется в карантине после моего скрипта, поищите вручную с помощью AVZ.
Файл сохранён как 070604_134847_virus_4663dfff3fab0.zip
Размер файла 37189
MD5 8dc5aa620e13b0e1e8a38b3f8dbfd726
Outpost (фаерволл) отключили сами, или это троян постарался?
Сам отключал. Кстати при работающем фаерволе вообще невозможно в инет выйти)) Он блочит все сразу))
Видимо, нет уже этих файлов...
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchost.dll');
DeleteFile('msapp.exe');
BC_DeleteFile('msapp.exe');
BC_DeleteFile('C:\WINDOWS\svchost.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
и сделайте новые логи.
Настраивать его нужно. См. соотв раздел, есть ссылка на инструкции.
Сделано
В логах полный порядок :)
Благодарю)))Все-таки Макафи - фиговый антивир))
Фаервалл все-таки настройте. Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]