Доктор Вэб иногда находит его иногда нет. рассылает спам. после нахождения дрвэбом и удаления появляется снова.
Printable View
Доктор Вэб иногда находит его иногда нет. рассылает спам. после нахождения дрвэбом и удаления появляется снова.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Yie20.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\Yie20.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта [url]http://download.drweb.com/win[/url] и установите.
[quote=Bratez;148946]Выполните скрипт в AVZ:
Пришлите карантин согласно приложению 3 правил.[/quote]
примечание - как я понял из скрипта - должно было быть три файла в карантине, там же я после выполнения скрипта нашёл только два файла. файлы высланы соглассно пункту 3.
дополнительный вопрос - в списек тем увидел тему Trojan.Proxy.1739
([URL]http://virusinfo.info/showthread.php?t=13982[/URL]) - у меня есть такая же проблема (на другой машине, вирус в файле sulimo.dat - тоже встречал здесь такую тему, файл после убивания восстанавливается, после убивания ветки реестра с сылкой на него - ветка реестра востанавливается) - можно ли использовать рецепты с той ветки или лучше всё выполнить сначала и попорядку?
Yie20.sys - [b]Rootkit.Win32.Agent.jc[/b]
ntoskrnl.exe - [b]Trojan.Win32.Patched.au[/b] - свежий DrWeb должен уметь его лечить. Или заменить файл чистым из дистрибутива.
ntkrnlpa.exe - в карантин не попал, очень вероятно, что тоже Patched.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote]можно ли использовать рецепты с той ветки или лучше всё выполнить сначала и попорядку?[/quote]
Чужие скрипты не применяйте. Сделайте на той машине логи и поместите в отдельную тему.
У Вас есть установочный диск Windows?
[quote=Maxim;149010]У Вас есть установочный диск Windows?[/quote]
конечно.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote=Bratez;149007]Yie20.sys - [B]Rootkit.Win32.Agent.jc[/B]
ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] - свежий DrWeb должен уметь его лечить. Или заменить файл чистым из дистрибутива.
ntkrnlpa.exe - в карантин не попал, очень вероятно, что тоже Patched.
[SIZE=1][/SIZE][/quote]
то есть мне надо установить новую версию ДрВэба и проблема будет решена, правильно? а лицензионный ключ, который есть сейчас, подойдёт?
а заменить с дистрибутива каким образом? ведь фалы там в .cab-ах
Ключ должен подойти. С помощью ДрВеба будет проще.
Ну а если менять с дистрибутива, то надо грузиться в консоль восстановления. Распаковку делают командой [b]expand[/b].
[QUOTE=Bratez;149028]Ключ должен подойти. С помощью ДрВеба будет проще.
Ну а если менять с дистрибутива, то надо грузиться в консоль восстановления. Распаковку делают командой [b]expand[/b].[/QUOTE]Можно проще.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС. Повторите логи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\yie20.sys - [B]Rootkit.Win32.Agent.jc[/B] (DrWEB: Trojan.NtRootKit.405)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2493)[/LIST][/LIST]