логи со второй машины
Printable View
логи со второй машины
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\59176402ld.exe','');
QuarantineFile('D:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('CRSS.EXE','');
QuarantineFile('d:\docume~1\яковле~1.sei\applic~1\fordwi~1\chin view about.exe','');
QuarantineFile('D:\DOCUME~1\ЯКОВЛЕ~1.SEI\APPLIC~1\USERBA~1\FIRST REMOTE.exe','');
QuarantineFile('D:\Program Files\WhenUSearch\search.dll','');
QuarantineFile('D:\WINDOWS\nem220.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Готово ;) Аваст с нодом не надо на одной машине.Лучше обновите винду .
знаем, что не надо :) нод поставили только вчера, когда настал великий день борьбы :)
спасибо!
карантин залит
новые логи -
А команды новые логи делать - не было !
[quote=drongo;118928]А команды новые логи делать - не было ![/quote]
сорри, чисто машинально, по аналогии с соседней темой
rpcc.dll - [B]Trojan-Proxy.Win32.Dlena.cn[/B]
chin view about.exe - [B]Trojan.Win32.Obfuscated.en[/B]
(TNX [B]drongo[/B], я этого прозевал ;))
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('CRSS.EXE');
DeleteFile('D:\WINDOWS\System32\rpcc.dll');
DeleteFile('d:\docume~1\яковле~1.sei\applic~1\fordwi~1\chin view about.exe');
DeleteFile('D:\WINDOWS\system32\59176402ld.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll (file missing)
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - D:\Program Files\WhenUSearch\search.dll (file missing)
O2 - BHO: (no name) - {E92FC9D9-4702-81EB-B9AD-56350FF94C56} - D:\DOCUME~1\ЯКОВЛЕ~1.SEI\APPLIC~1\USERBA~1\FIRST REMOTE.exe (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\RunServices: [CRSS] CRSS.EXE
O20 - Winlogon Notify: rpcc - D:\WINDOWS\System32\rpcc.dll
[/code]
(двух последних может и не быть).
Перезагрузитесь и сделайте новые логи.
значит зря я в репу получил :)
новые логи -
Задание из Планировщика надо удалить, а так вроде все чисто.
Обновлять винду надо. Либо восстанавливать "таблетку". Под чистым ХР мало кто долго может протянуть.
[quote=Daredee;118969]значит зря я в репу получил :)
новые логи -[/quote]
Я бы хотел поставить точки над И ;)
Не зря, а по делу ;)
В посте номер 2 было только копирование подозреваемых, ничего из системы удалено не было,следовательно новые логи в посте номер 5 [B]не были[/B] нужны и запроса хелпера [B]не было [/B]:P.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\docume~1\\яковле~1.sei\\applic~1\\fordwi~1\\chin view about.exe - [B]Trojan.Win32.Obfuscated.en[/B] (DrWEB: Trojan.Packed.149)[*] d:\\windows\\system32\\rpcc.dll - [B]Trojan-Proxy.Win32.Dlena.cn[/B] (DrWEB: Win32.HLLM.Bid)[/LIST][/LIST]