Машина вешает интернет всей локалке, если подключена в сеть....
помогите !:)
Printable View
Машина вешает интернет всей локалке, если подключена в сеть....
помогите !:)
Отключить антивирус.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
QuarantineFile('C:\WINDOWS\anvshell.exe','');
QuarantineFile('protect.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\docume~1\petya\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\petya\locals~1\temp\winlogon.exe');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('c:\docume~1\petya\locals~1\temp\winlogon.exe');
DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
DeleteFile('protect.sys');
BC_DeleteFile('protect.sys');
BC_DeleteSvc('protect');
DeleteFile('C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин после перезагрузки через ссылку [url]http://virusinfo.info/upload_virus.php?tid=13067[/url].
LiveUpdate от Симантека можно деинсталлировать, Если продукты от Симантека не используются.
после всего этого прислать новые логи.
После скрипта от [b]PavelA[/b] выполните еще такой:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новые логи.
карантин закачал в тему
а что значит сделать новые логи?
прислать еще раз эти 3 файла?
Да. Посмотрим, что осталось.
Точнее, сделать по правилам ещё раз все логи и прикрепить к следующему сообщению
спасибо за помощ ;)
CTHELPER.EXE найти через AVZ. Нужен тот, который, возможно, живет не в System32.
Что-то от Симантека используется? Если нет, надо удалить задание в Планировщике.
удалил
из симантека ничего не использую вроде :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\petya\\local settings\\temporary internet files\\content.ie5\\4j5reev9\\603-a[1].exe - [B]Trojan.Win32.Agent.bwa[/B] (DrWEB: Trojan.Packed.147)[*] c:\\documents and settings\\petya\\local settings\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.bwa[/B] (DrWEB: Trojan.Packed.147)[*] c:\\docume~1\\petya\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.bwa[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\deflib.sys - [B]Trojan.Win32.Agent.asu[/B] (DrWEB: Trojan.NtRootKit.312)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\system32\\svchost.exe:ext.exe - [B]Trojan.Win32.Obfuscated.iq[/B][*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.iq[/B][/LIST][/LIST]