подхватил Backdoor.Win32.Poison.b, он стал коннектиться в инет, пришлось заблокирывать IE файрволлом.
Вроде как удалось вылечить его KAV, iexplore перестал ломиться в интернет, но в диспетчере задач все равно висит iexplore.exe
Printable View
подхватил Backdoor.Win32.Poison.b, он стал коннектиться в инет, пришлось заблокирывать IE файрволлом.
Вроде как удалось вылечить его KAV, iexplore перестал ломиться в интернет, но в диспетчере задач все равно висит iexplore.exe
пожалуйста скачайте [B]актуальную[/B] версию AVZ 4,25 у вас устаревшая... и повторите логи...
извиняюсь =)
з.ы. и что делать с карантином? там после установки новой версии аж на 30+ мб файлов обнаружилось =)
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,rundll32.exe start
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\win32Gl\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32:regedt.exe','');
QuarantineFile('C:\Program Files\21cn\VGO\VGOIEBHO.dll','');
QuarantineFile('start.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
пофиксил, скрипт выполнил,карантин отослал
при загрузке компьютера в процессах продолжает висеть iexplore.exe
Поищите вручную с помощью AVZ файл [B]start.exe[/B].
Если найдется, пришлите по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32:regedt.exe');
DeleteFile('C:\Program Files\win32Gl\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки запустите AVZ, откройте Сервис - Менеджер Active Setup и удалите строчки, в которых прописаны файлы, упомянутые в скрипте (если они там останутся).
скрипт выполнил, после ребута строчки удалил
iexplore.exe исчез
спасибо =)
[B]start.exe [/B]не нашелся?
[QUOTE=Bratez;130101][B]start.exe [/B]не нашелся?[/QUOTE]
нет
Тогда, очевидно, лечение окончено.
Для контроля сделайте логи, начиная с п.10 правил.
логи приложил
файл
I:\la2\system\d3d9.dll не хочет удалятся, его в этой папке быть не должно. можно конечно убить через 2 систему, но на всякий случай выслал его через форум
[quote=zasadez;130192]
файл
I:\la2\system\d3d9.dll не хочет удалятся, его в этой папке быть не должно.[/quote]почему Вы так в этом уверены? ИМО это нормальная библиотека, которая в онлайн-играх используется.
эдит: и Вирустотал так же считает :). Если заметных проблем нет, то [QUOTE]очевидно, лечение окончено.[/QUOTE]
[QUOTE=Rene-gad;130205]почему Вы так в этом уверены? ИМО это нормльная библиотека, которая в онлайн-играх используется.[/QUOTE]
1) в другой папке с La2 его нет
2)в свойствах файла нет инфы о майкрософте, т.к. это DX9 библиотека по идее =)
3)он не удаляется
все это конечно имхо =)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\win32gl\\svchost.exe - [B]Trojan.Win32.Agent.bcl[/B] (DrWEB: BackDoor.Bifrost)[*] c:\\program files\\21cn\\vgo\\vgoiebho.dll - [B]not-a-virus:AdWare.Win32.BHO.ed[/B][/LIST][/LIST]