Определился этот зверь доктор вебом(базы от 23 июля 2007). При загрузке пишет что нашел, я его лечу, при следующей перезагрузке картина повторяется. Помогите пожалуйста!
Printable View
Определился этот зверь доктор вебом(базы от 23 июля 2007). При загрузке пишет что нашел, я его лечу, при следующей перезагрузке картина повторяется. Помогите пожалуйста!
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
После этого пришлите файлы карантина по правилам.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\svchost.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINNT\system32\so1.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
отправил файлы из карантина
C:\WINNT\system32\sрoоlsv.exe - Trojan.Win32.Small.fb
C:\WINNT\system32\so1.dll - Trojan-Spy.Win32.Banker.cnx
и несколько экземпляров Rootkit.Win32.Agent
Скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\sрoоlsv.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\svchost.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\WINNT\system32\so1.dll');
DeleteFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\Local Settings\Temp\281484.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите протоколы.
Вроде доктор веб замолчал. СПАСИБО!
Еще один скрипт для окончательной уверенности в зачистке:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('sрoоlsv.exe');
DeleteFile('so1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ен.kontakt-service\\local settings\\temp\\281484.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\winnt\\system32\\so1.dll - [B]Trojan-Banker.Win32.Banker.cnx[/B] (DrWEB: Trojan.PWS.Finanz)[*] c:\\winnt\\system32\\sрoоlsv.exe - [B]Trojan.Win32.Small.fb[/B] (DrWEB: Trojan.PWS.Webmonier)[/LIST][/LIST]