После удаления partnership.dll инфицированного BackDoor.Bech.origin позвонил провайдер и сообщил, что с нашего ip производится массовая рассылка спама.
Printable View
После удаления partnership.dll инфицированного BackDoor.Bech.origin позвонил провайдер и сообщил, что с нашего ip производится массовая рассылка спама.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('Lbwj53');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=19272[/url]).
Сделайте новые логи, начиная с п.10 правил.
Карантин пустой 8(
winlagons.exe в системе не обнаружен, но есть C:\WINDOWS\system32\winlogon.exe
winlogon.exe - системный ... его не трогайте ....
сделайте новые логи ....
Новые логи.
Логи чистые. Для порядка пофиксите строчку в HijackThis:
[code]O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\[/code]
Как чистые? После перезагрузки:
[CODE]
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text[/CODE]
Это нормально.
Спасибо 8)