Добрый Вечер
Ненормальная сетевая активность при проверке суреит докторвебовским компьютер перегружается.
Printable View
Добрый Вечер
Ненормальная сетевая активность при проверке суреит докторвебовским компьютер перегружается.
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('hipsrv', 4);
StopService('hipsrv');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\Installer\{f30fb078-aebe-4cd2-b0b7-07fa093e9ed6}\DrvBoot.dll','');
QuarantineFile('C:\WINDOWS\Installer\{0feecbfb-54a8-4516-8f19-56c34451dcf9}\ComponentVolume.dll','');
QuarantineFile('C:\sysppan.exe','');
QuarantineFile('C:\Documents and Settings\avdeeva\ie_updates3r.exe','');
QuarantineFile('C:\Documents and Settings\avdeeva\Desktop\ieupdr2.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system\wlcstd32.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
DeleteService('hipsrv');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\DOCUME~1\avdeeva\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('Bwj62.sys','');
DeleteFile('C:\DOCUME~1\avdeeva\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\system\wlcstd32.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\Documents and Settings\avdeeva\Desktop\ieupdr2.exe');
DeleteFile('C:\Documents and Settings\avdeeva\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DelBHO('{35D2328C-B75A-81BF-081C-B1E9DC54F3EE}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18781[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll [/CODE]
Повторите логи
cделал
Карантин забыли
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
DameWare Mini Remote Control - это вы устанавливали.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\sysppan.exe');
BC_ImportDeletedList;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Попробуйте создать логи в обычном режиме
карантин закачал
дамеваре ставил сам
при попытке в обычном режиме при запуске скрипта комп уходит в ребут.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Bwj62.sys - force delete.....
затем выполните скрипт ..
[code]
begin
DeleteFile('C:\sysppan.exe');
DelWinlogonNotifyByFileName('wowfx.dll');
BC_DeleteSvc('Bwj62');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи....
Логи в обычном режиме.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('wowfx.dll');
DelWinlogonNotifyByFileName('wowfx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте полный комплект логов ...
Сделал.
в логах чисто .... какие-то проблемы остались ?
вроде никаких нет. Спасибо ( уже нажал =) )