-
Последствия W32.IRCBot
Проблема: имеется машина под охраной Norton AntiVirus Corp. Edition v.10. Подозреваю, что заражение произошло через ICQ - клиент. На момент 1- го запуска компа в зараженном виде NAV Realtime Protection был убит вирусом намертво и не оживал ни под каким видом. Кое-как оживленный NAV-клиент смог сделать Full System Scan, нашел W32.IRCBoot, Hacktool.Rootkit (в файле DefLib.sys), Backdoor.Haxdoor (в файле {EA61C~1.EXE). Помимо этого при загрузке винды перед началом работы вылезает ошибка запуска cli.exe (опознан мною как файл центра управления Catalyst) и при каждом запуске Windows Explorer (explorer.exe) комп выдает ошибку доступа к памяти, которую обзывает "DAX Error". После восстановления NAV, прочесывания NAV'ом и AVZ4 в начале работы NAV Realtime Protection находит и удаляет по 2 копии Hacktool.Rootkit (в файле DefLib.sys) и Backdoor.Haxdoor (в файле {EA61C~1.EXE), выдает ошибку cli.exe и "DAX Error" при обращении к explorer.exe ("Мой компьютер, например"). Чего делать не знаю, идей никаких нет.:?
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('atietaxx.dll','');
QuarantineFile('C:\WINDOWS\system32\atietbxx.sys','');
QuarantineFile('c:\docume~1\user1\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\user1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\atietaxx.dll');
DeleteFile('C:\WINDOWS\system32\atietbxx.sys');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11890[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O24 - Desktop Component 0: (no name) - http://www.vetton.ru/walls/animals/vetton_ru_238.jpg [/CODE]
нужен ещё файл [B]virusinfo_syscheck.zip[/B] ,а [B]virusinfo_cure.zip[/B] уберите.
и повторите логи.
-
Вложений: 2
Спасибо за помощь!
Спасибо, вроде все пофиксилось, работает. Файл virus.zip отправил. Среди логов файла virusinfo_syscheck.zip нет, прикрепляю все, что есть в логах.
-
Читать умеете? [B]virusinfo_cure[/B] -это карантин, уберите его из темы.
-
И зачем вы прикрепили старые логи? :)
повторить логи,это значит сделать их снова по правилам.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\user1\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.asu[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\atietaxx.dll - [B]Trojan-Banker.Win32.Banker.crq[/B] (DrWEB: Trojan.PWS.Banker.10991)[*] c:\\windows\\system32\\atietbxx.sys - [B]Trojan-Banker.Win32.Banker.crq[/B] (DrWEB: Trojan.PWS.Banker.10991)[*] c:\\windows\\system32\\bhosearchspy.dll - [B]not-a-virus:AdWare.Win32.BHO.cu[/B] (DrWEB: Trojan.Searcher)[*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Obfuscated.gp[/B] (DrWEB: BackDoor.Bolg)[*] c:\\windows\\userinit.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]
Page generated in 0.00540 seconds with 10 queries