Здравствуйте.
В папке Windows/Temp появился файл startdrv.exe, я как-то смог его оттуда удалить, но в AVZ/диспетчер процессов он виден и не останавливается.
И какой-то процесс постоянно ищет соединения с разными адресами в Интернете.
Спасибо.
Printable View
Здравствуйте.
В папке Windows/Temp появился файл startdrv.exe, я как-то смог его оттуда удалить, но в AVZ/диспетчер процессов он виден и не останавливается.
И какой-то процесс постоянно ищет соединения с разными адресами в Интернете.
Спасибо.
Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
затем еще один...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Выслал карантин по первому скрипту, второй пока не выполнял.
віполняйте ...
Отключите антивирус.
Выполните скрипт [b]V_Bond[/b] и такой:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин.
Антивирус включать только после формирования архива карантина!
Оба скрипта выполнил, файл выслал.
Outpost теперь пропускает исходящие на разные адреса, например:
smtp.messagingengine.com
mail7.digitalwaves.co.nz
gsmtp183.google.com
gmail-smtp-in.l.google.com
mxs.mail.ru
C:\WINDOWS\system32\ntos.exe - может воровать пароли. Желательно их сменить.
Опять нет нужных файлов:
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys
хотя написано в ini-шках, что добавлены.
Очистите папку Quarantine и выполните последний скрипт еще раз. После перезагрузки проверьте наличие нужных файлов в карантине. Если на них реагирует ваш антивирус - можно не присылать, просто сообщите об этом.
Файлы в карантине появились.
В диспетчере процессов все равно виден startdrv.exe
и осуществляются соединения с вышеуказанными адресами в интернете.
вы отослали карантин ?
Теперь отослал карантин.
выполните скрипт ...[B] Bratez[/B] из поста 6 в safe mode .... и заново пришлите карантин ..
Скрипты в безопасном режиме выполнил. Карантин отослал, но файлы в нем те же, что до выполнения.
найдите файлы в ручную( искать лучшев FAR) ... заархивируйте с паролем .... и отправте ...
После этого выполните скрипт:
[code]
begin
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте такой лог в безопасном режиме:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Спасибо большое всем, кто откликнулся. Сегодня ничего сделать уже не успею, буду пробовать позже. Пока отключаю вредные процессы в диспетчере процессов AVZ, слежу в Outpost.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dv[/B] (DrWEB: Trojan.Proxy.1731)[/LIST][/LIST]