Какой то спамбот выжил и жрет трафик.
Printable View
Какой то спамбот выжил и жрет трафик.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SVOHOST.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\FONTS\81576.com','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\SVOHOST.exe');
DeleteFile('C:\WINDOWS\system32\SVOHOST.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин через ссылку вверху темы.
Профиксить:
[CODE]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0419&Ext=psd
[/CODE]
Выполнил, пофиксил, отправил.
Файл сохранён как 071018_041648_virus_471724801e359.zip
Размер файла 35624
MD5 b82cdc881fe5d3934b55e9ea89c96783
Делать лог нужно в Safe Mode:[url]http://virusinfo.info/showthread.php?t=10387[/url]
Повторно обычные, как в первом сообщении тоже.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
'C:\WINDOWS\system32\drivers\protect.sys' - Rootkit.Win32.Agent.jj (по Касперскому) Обычно идет в компании.
'c:\windows\system32\svchost.exe:ext.exe:$DATA' - Trojan.Win32.Obfuscated.jb (по Касперскому, новенький) Странно, что AVZ его не определил. Базы обновленные стоят.
АВЗ обновлял, это:
'c:\windows\system32\svchost.exe:ext.exe:$DATA'
он видел, но я так и не допер, что за конструкция такая (svchost.exe:ext.exe:$DATA')
А это где засветилось? 'C:\WINDOWS\system32\drivers\protect.sys'
Почистить временные файлы Инета.
Профиксить:
[CODE]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe[/CODE]
C:\WINDOWS\FONTS\81576.com - что вот это такое знаешь?
Если нет, то найти через AVZ, поместить в карантин и загрузить.
А это где засветилось? 'C:\WINDOWS\system32\drivers\protect.sys' - нашелся в присланном карантине.
Почистил.
Пофиксил.
Этого C:\WINDOWS\FONTS\81576.com не оказалось, тоже пофиксил.
А у этого 'C:\WINDOWS\system32\drivers\protect.sys' почему то в карантине стоит вчерашняя дата, хотя лечить начал только сегодня!
Нужно было бы новый лог HijackThis для контроля сделать.
Кстати, запускать HijackThis.exe надо не из архива, а распаковав его в отдельную папку.