Здравствуйте!
Комп по всей видимости подхватил несколько троянов. McAfee их находит, но удалить не может. А Windows заявляет, что некоторые системные файлы заменены и просит диск чтобы обновить их.
Прилагаю файлы согласно правилам раздела.
Printable View
Здравствуйте!
Комп по всей видимости подхватил несколько троянов. McAfee их находит, но удалить не может. А Windows заявляет, что некоторые системные файлы заменены и просит диск чтобы обновить их.
Прилагаю файлы согласно правилам раздела.
выполните скрипт...
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wupdsvc5.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\WINDOWS\FONTS\94DFD.com','');
QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
QuarantineFile('protect.sys','');
QuarantineFile('C:\WINDOWS\system32\vhosts.exe','');
QuarantineFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\vhosts.exe');
DeleteFile('protect.sys');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('C:\WINDOWS\system32\wupdsvc5.exe');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
повторите логи...
при попытке выполнить второй скрипт выходит ошибка
Too many actual parameters в позиции 12:12
поправил ...
Карантин отправил. Прилагаю логи.
[b]Trojan-Downloader.Win32.BHO.bm, Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Ranky.gg[/b]
плюс новый [b]Trojan.Win32.Agent.cmg[/b] попали в карантин
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\94DFD.com
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите по правилам.
Сделайте новые логи.
Посылаю карантин. Посылаю логи.
в логах чисто.... если проблем нет ,то лечение можно считать завершенным...
В карантине - [b]Trojan.Win32.Obfuscated.kf[/b]
Логи чистые. Рекомендуется отключить все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\nevaeva\\local settings\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.cmg[/B] (DrWEB: Trojan.Packed.147)[*] c:\\docume~1\\nevaeva\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.cmg[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\system32\\svchost.exe:ext.exe - [B]Trojan.Win32.Obfuscated.kf[/B] (DrWEB: Trojan.Inject.492)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.kf[/B] (DrWEB: Trojan.Inject.492)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Proxy.Win32.Ranky.gg[/B] (DrWEB: Trojan.MulDrop.8347)[*] c:\\windows\\system32\\wupdsvc5.exe - [B]Trojan-Downloader.Win32.BHO.bm[/B] (DrWEB: Trojan.MulDrop.9502)[/LIST][/LIST]