C начала февраля возникла проблема :(, которую Symantec определил как W32.Fujacks.B ,
а AVZ4 определил как Trojan.Win32.Small.js
Сделаны архивные файлы AVZ4, теперь прошу помощь знающих людей в устранении зловреда, заранее спасибо!!!
Printable View
C начала февраля возникла проблема :(, которую Symantec определил как W32.Fujacks.B ,
а AVZ4 определил как Trojan.Win32.Small.js
Сделаны архивные файлы AVZ4, теперь прошу помощь знающих людей в устранении зловреда, заранее спасибо!!!
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\KM5.exe','');
QuarantineFile('c:\program files\kwclient\kwclient.exe','');
QuarantineFile('C:\DOCUME~1\A466~1\LOCALS~1\Temp\~is1.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18186[/url]
[size="1"][color="#666686"][B][I]Добавлено через 57 секунд[/I][/B][/color][/size]
Очистите вручную[b] D:\System Volume Information\_restore[/b]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]Уважемый akoK, по вашим рекомендациям следующие результаты:[/SIZE][/FONT]
[LIST][*][FONT=Times New Roman][SIZE=3]после скрипта отключился инет, полагаю настройки VPN связаны как-то с KWclient, которая установлена с сайта сетевого админа для мониторинга платёжного баланса.[/SIZE][/FONT][*][SIZE=3][FONT=Times New Roman]после восстановления инета выполнил ещё раз скрипт без « [COLOR=black]QuarantineFile('c:\program files\kwclient\kwclient.exe'» , карантин высылаю по ссылке 18186[/COLOR][/FONT][/SIZE][*][FONT=Times New Roman][SIZE=3]удаление [/SIZE][/FONT][B][COLOR=black][FONT=Verdana]D[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]:\[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]System[/FONT][/COLOR][/B][B][COLOR=black][/COLOR][/B][B][COLOR=black][FONT=Verdana]Volume[/FONT][/COLOR][/B][B][COLOR=black][/COLOR][/B][B][COLOR=black][FONT=Verdana]Information[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]\_[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]restore[/FONT][/COLOR][/B][B][COLOR=black][/COLOR][/B][SIZE=3][FONT=Times New Roman][COLOR=black][B]провел вручную штатными средствами ОС с большой трудностью (в «награду» за незнание [/B][/COLOR][COLOR=black][B]AVZ[/B][/COLOR][COLOR=black][B]), при этом пришлось для доступа «расшарить» папку ,где кроме [/B][/COLOR][/FONT][/SIZE][COLOR=black][FONT=Verdana][B]restore[/B][/FONT][/COLOR][COLOR=black][FONT=Verdana][B]-файлов [/B][/FONT][/COLOR][COLOR=black][B][FONT=Times New Roman][SIZE=3]находятся ещё две вещи, определяемые как системные, с доступом только копирования. [/SIZE][/FONT][/B][/COLOR][*][COLOR=black][B][FONT=Times New Roman][SIZE=3]Полагаю, что это искомое зверьё, так как подобного нет на моём рабочем компе, на всякий случай они заархивированы – хотелось бы знать, что это. [/SIZE][/FONT][/B][/COLOR][/LIST]
Прошу помощи сведующих людей!:( Поскольку после сканирования карантин AVZ забит лавинно образующейся нечестью! Три экземпляра высылаю по ссылке 18186
выполните пункт 2 правил ...
после этого повторите логи авз ....
[QUOTE=korservas;189967]
[FONT=Times New Roman][SIZE=3]Уважемый akoK, по вашим рекомендациям следующие результаты:[/SIZE][/FONT]
[LIST][*][FONT=Times New Roman][SIZE=3]после скрипта отключился инет, полагаю настройки VPN связаны как-то с KWclient, которая установлена с сайта сетевого админа для мониторинга платёжного баланса.[/SIZE][/FONT][*][SIZE=3][FONT=Times New Roman]после восстановления инета выполнил ещё раз скрипт без « [COLOR=black]QuarantineFile('c:\program files\kwclient\kwclient.exe'» , карантин высылаю по ссылке 18186[/COLOR][/FONT][/SIZE][*][FONT=Times New Roman][SIZE=3]удаление [/SIZE][/FONT][B][COLOR=black][FONT=Verdana]D[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]:\[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]System[/FONT][/COLOR][/B][B][/B][B][COLOR=black][FONT=Verdana]Volume[/FONT][/COLOR][/B][B][/B][B][COLOR=black][FONT=Verdana]Information[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]\_[/FONT][/COLOR][/B][B][COLOR=black][FONT=Verdana]restore[/FONT][/COLOR][/B][B][/B][SIZE=3][FONT=Times New Roman][COLOR=black][B]провел вручную штатными средствами ОС с большой трудностью (в «награду» за незнание [/B][/COLOR][COLOR=black][B]AVZ[/B][/COLOR][COLOR=black][B]), при этом пришлось для доступа «расшарить» папку ,где кроме [/B][/COLOR][/FONT][/SIZE][COLOR=black][FONT=Verdana][B]restore[/B][/FONT][/COLOR][COLOR=black][FONT=Verdana][B]-файлов [/B][/FONT][/COLOR][COLOR=black][B][FONT=Times New Roman][SIZE=3]находятся ещё две вещи, определяемые как системные, с доступом только копирования. [/SIZE][/FONT][/B][/COLOR][*][COLOR=black][B][FONT=Times New Roman][SIZE=3]Полагаю, что это искомое зверьё, так как подобного нет на моём рабочем компе, на всякий случай они заархивированы – хотелось бы знать, что это. [/SIZE][/FONT][/B][/COLOR][/LIST][/QUOTE]
1. То что Вы отправили не содержит вредоносного кода
2. Никаких "срывов" после выполнения моего скрипта не должно было произойти, т.к. выполнялся карантин подозрительных файлов.
согласен с вами akoK, но это в прошлом, сейчас реальный троян на диске С "подозрение на Trojan.WinREG.Zapchast.e" - это из лога AVZ
Тогда необходимо выполнять рекомендации указанные в посте №5:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]