NOD32 примерно через каждые 3-5 мин выдает предупреждение, что svhost.exe создает файл u8aac.tmp (само название файла может меняться, но все с расширением tmp), зараженный TrojanDownloader.Dirat.an.
Printable View
NOD32 примерно через каждые 3-5 мин выдает предупреждение, что svhost.exe создает файл u8aac.tmp (само название файла может меняться, но все с расширением tmp), зараженный TrojanDownloader.Dirat.an.
Извините, что логи в отдельном посте. глюкануло меня
1.Отключитесь от инета и обязательно отключить мониторинг антивируса.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('bootrom8.dll','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\3689.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\6948.tmp','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('bootrom8.dll');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
3.временные файлы в системе удалите.
4.включите антивирус & Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17307[/url]
5.сделайте новые логи и присоединить к следующему сообщению.
Карантин загрузил. Файл сохранён как080131_090149_virus_47a1e2dd01e14.zip
вот новые логи
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: bootrom8 - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w32sys15.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_ImportDeletedList;
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Downloader.Win32.Small.ibd[/B] (DrWEB: BackDoor.Dax)[/LIST][/LIST]