Есть подозрение, что в компьютере установлен руткит, который с определенной периодичностью "выкидывает" вирусы на компьютер. Посмотрите по логам, есть ли какие-то следы вирусов?
P.S. Компьютер не мой, поэтому истории заражения не знаю.
Printable View
Есть подозрение, что в компьютере установлен руткит, который с определенной периодичностью "выкидывает" вирусы на компьютер. Посмотрите по логам, есть ли какие-то следы вирусов?
P.S. Компьютер не мой, поэтому истории заражения не знаю.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{85395FE5-A791-47C3-A664-70842D742263}\RP224\A0389071.exe','');
SetServiceStart('msupdate', 4);
DeleteService('msupdate');
StopService('msupdate');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spit.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a2lvmmbx.SYS','');
QuarantineFile('C:\Documents and Settings\Наташа\Application Data\Mozilla\Firefox\Profiles\oiye3atw.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampPlayer.dll','');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\System Volume Information\_restore{85395FE5-A791-47C3-A664-70842D742263}\RP224\A0389071.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18070[/url]
радмин сами ставили ? это собственно и есть бэкдор :)
[quote=drongo;187823]Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=18070[/URL]
радмин сами ставили ? это собственно и есть бэкдор :)[/quote]
Карантин выслал. Радмин поставил сам. С помощью него я и помогаю человеку.
Новые логи прикрепил.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=explorer.exe "%ProgramFiles%\Common Files\Microsoft Shared\Web Folders\shell32.exe"
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell32.exe','');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
Готово. Карантин загружен. Логи прикрепил.
Жалобы остались?
Да вроде бы есть еще проблемы... Не знаю, связаны ли они с вирусами напрямую, но лучше бы застраховаться заранее. :)
Какие проблемы то?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{85395fe5-a791-47c3-a664-70842d742263}\\rp224\\a0389071.exe - [B]Trojan.Win32.ConnectionServices.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\rserver30\\r3god.dll - [B]Backdoor.Win32.RAdmin.ab[/B] (DrWEB: BackDoor.Radmin.54)[/LIST][/LIST]