замучал этот Троян. неудаляется никак.
Printable View
замучал этот Троян. неудаляется никак.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('zxsderfbukjfyshlhdfrstdzhdfa');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfa.sys','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_QrSvc('zxsderfbukjfyshlhdfrstdzhdfa');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
:D. убрался троянище!
Сделайте новые логи.
сделал повторно логи. проверьте, все ли правильно.
NDnet1.sys - поищите с AVZ
NDnet1.sys - как искать с AVZ?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
в папке Infected в AVZ сидят копии зараженных файлов. Что с ними делать?
[QUOTE=Dim;186914]NDnet1.sys - как искать с AVZ?[/QUOTE][url]http://virusinfo.info/showthread.php?t=4567[/url]
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
[QUOTE=Dim;186914]в папке Infected в AVZ сидят копии зараженных файлов. Что с ними делать?[/QUOTE]Можно удалить.
NDnet1.sys - AVZ не нашел. Какие дальнейшие дейсивия?
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O3 - Toolbar: (no name) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('NDnet1');
BC_Activate;
RebootWindows(true);
end.[/code]
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
а как отключить потенциально опасные службы?
Мы напишем скрипт....скажите, что вам не нужно?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Trojan.MulDrop.6474)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[*] e:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.qpu[/B] (DrWEB: Win32.HLLW.Autoruner.1285)[/LIST][/LIST]