трафик

Printable View

19.02.2008, 15:23
vve

трафик

большой трафик
19.02.2008, 15:53
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hmr27\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\keyhook.exe','');
QuarantineFile('C:\Documents and Settings\Диксис\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hmr27.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('c:\documents and settings\Диксис\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\Диксис\local settings\application data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hmr27.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Диксис\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\Диксис\Local Settings\Temporary Internet Files\Content.IE5\HV3F5H8A\ieupdater[1].exe');
BC_ImportALL;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Hmr27');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
19.02.2008, 20:23
vve

карантин закачал и сделал новые логи
19.02.2008, 20:33
V_Bond

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
QuarantineFile('c:\windows\system32\amupdsvc.exe','');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
20.02.2008, 09:46
vve

закачал
20.02.2008, 10:00
V_Bond

c:\windows\system32\amupdsvc.exe - чистый ....
повторите логи
20.02.2008, 20:13
vve

новые логи
20.02.2008, 20:33
V_Bond

пофиксите ...
[code]
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
обновите базы авз повторите virusinfo_syscure.zip
22.02.2008, 14:11
vve

готово
22.02.2008, 16:24
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Диксис\Local Settings\Temporary Internet Files\Content.IE5\8VXRU6VT\systemXP2[1].exe','');
QuarantineFile('C:\Documents and Settings\Диксис\Local Settings\Temp\systemXP2.exe','');
QuarantineFile('C:\Documents and Settings\Диксис\Local Settings\Temp\1A65.tmp','');
DeleteFile('C:\Documents and Settings\Диксис\Local Settings\Temp\1A65.tmp');
DeleteFile('C:\Documents and Settings\Диксис\Local Settings\Temp\systemXP2.exe');
DeleteFile('C:\Documents and Settings\Диксис\Local Settings\Temporary Internet Files\Content.IE5\8VXRU6VT\systemXP2[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
очистите временные интернет файлы ...
повторите последний лог
28.02.2008, 10:19
vve

карантин закачал
временные файли вручную удалил
28.02.2008, 10:22
V_Bond

больше ничего подозрительного ....