Очень сильно стал тормозить инет, AVZ обнаружил некоторые неприятные вещи, подозрение на Backdoor.Prorat например.
Логи во вложении. Подскажите как решить проблему.
Printable View
Очень сильно стал тормозить инет, AVZ обнаружил некоторые неприятные вещи, подозрение на Backdoor.Prorat например.
Логи во вложении. Подскажите как решить проблему.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\UpdReg.EXE','');
QuarantineFile('H:\WINDOWS\system\sservice.exe','');
QuarantineFile('H:\WINDOWS\system32\fservice.exe','');
QuarantineFile('H:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('H:\DOCUME~1\Sergey\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('H:\WINDOWS\system32\fservice.exe','');
QuarantineFile('H:\WINDOWS\system32\vdo_6368-2216.sys','');
QuarantineFile('H:\WINDOWS\wmt32.exe','');
QuarantineFile('H:\WINDOWS\system32\winkey.dll','');
QuarantineFile('H:\WINDOWS\system32\reginv.dll','');
QuarantineFile('h:\windows\wmt32.exe','');
QuarantineFile('h:\windows\services.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11306[/url]
[B]boot_copy.log[/B]- из папки AVZ прикрепить к вашему следующему ответу
Пока ничего не вылечилось(
что мне дальше можно сделать?
[QUOTE=Humloves;124675]что мне дальше можно сделать?[/QUOTE]
Ждать - хелперам нужно некоторое время для обработки. Я посмотрел присланные файлы, там страшный зверинец ... я внес зверей в базу AVZ, поэтому следует:
1. Обновить базу AVZ (обновление уже лежит в Инет)
2. Пролечить системный диск (поставив птичку "выполнять лечение" и отметив "лечить/удалять" для всех типов зловредов).
3. После завершения лечения перезагрузиться и заново сделать логи по правилам - посмотрим, все ли убилось.
Благодарю, сейчас займусь.
Спасибо вам за программу!)
В дополнение: после такого !! , наверное , нужно подумать о более мощной защите. Я имею ввиду смену антивируса.
)) хехе спасибо за совет ...а что все так ужасно?) до сих пор проблем не было) ручками убивал);)
вообщем после последней обновленной базы....скидываю ишо логи)
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('H:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
QuarantineFile('H:\DOCUME~1\Sergey\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('H:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('h:\windows\services.exe');
DeleteFile('H:\DOCUME~1\Sergey\LOCALS~1\Temp\winlogon.exe');
DeleteFile('H:\WINDOWS\Temp\startdrv.exe');
DeleteFile('H:\WINDOWS\system32\vdo_6368-2216.sys');
DeleteFile('H:\WINDOWS\system\sservice.exe');
DelCLSID('5Y99AE78-58TT-11dW-BE53-Y67078979Y');
BC_DeleteSvc('vdo_6368-2216');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11306[/url]
и сделайте новые логи.
[B]Muzzle[/B], Спасибо. Вылечилось..вроде бы.
Через некоторое время скину логи.
Спасибо, вот логи.
[QUOTE='Humloves;124646']Пока ничего не вылечилось([/QUOTE]
не должно было ;) было только диагностирование ;)
для красоты, пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/code]
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
[quote=Humloves;124764])) ...а что все так ужасно?)
[/quote]
Был просто ужас :)
[img]http://anikdot.ru/uploads/posts/thumbs/1163781008_detachedeyes.jpg[/img]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\documents and settings\\sergey\\local settings\\temporary internet files\\content.ie5\\oxsdez0t\\file[1].exe - [B]Trojan-Downloader.Win32.Small.evy[/B] (DrWEB: Trojan.DownLoader.26504)[*] h:\\windows\\services.exe - [B]Backdoor.Win32.Prorat.19.i[/B] (DrWEB: BackDoor.ProRat.19)[*] h:\\windows\\system\\sservice.exe - [B]Backdoor.Win32.Prorat.19.i[/B] (DrWEB: BackDoor.ProRat.19)[*] h:\\windows\\system32\\fservice.exe - [B]Backdoor.Win32.Prorat.19.i[/B] (DrWEB: BackDoor.ProRat.19)[*] h:\\windows\\system32\\reginv.dll - [B]Backdoor.Win32.Prorat.19.aep[/B] (DrWEB: BackDoor.ProRat.209)[*] h:\\windows\\system32\\vdo_6368-2216.sys - [B]Packed.Win32.Tibs.ab[/B] (DrWEB: Trojan.NtRootKit.308)[*] h:\\windows\\system32\\winkey.dll - [B]Backdoor.Win32.Prorat.19.at[/B] (DrWEB: BackDoor.ProRat.22)[*] h:\\windows\\wmt32.exe - [B]Trojan.Win32.Small.nk[/B] (DrWEB: Trojan.PWS.Lineage.2970)[/LIST][/LIST]