Работал по инструкции, проверьте плз чисто или нет. Комп поключен к сети, работает с терминальным сервером.
Printable View
Работал по инструкции, проверьте плз чисто или нет. Комп поключен к сети, работает с терминальным сервером.
отключить антивирус и интернет
.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\route.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\system32\svchost.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19576[/url]
это вы сами с hosts игрались? больно подозрительно, все запросы на популярные поисковики идут на какой-то левый сервер.
К сожаленю нету возможности физического контакта с этим компьютером. Выполнил скрипт с вкл интернетом. При попытке запаковать файл карантина пишет:
E:\avz4\Quarantine\2008-03-11\bcqr00009.dta отказано в доступе
E:\avz4\Quarantine\2008-03-11\bcqr00010.dta отказано в доступе
Антивирус мешает. При выполнении скриптов (и запаковке карантина) надлежит отключать.
Загрузил карантин. НОД опять кричит:
12.03.2008 9:52:52 - AMON - сканер по доступу Инициирована программная вирусная тревога на xxx: C:\WINDOWS\System32\svchost.exe инфицирован Win32/Qhost.ACB вирус.
12.03.2008 9:53:41 - Ядро NOD32 Инициирована программная вирусная тревога на xxx: C:\WINDOWS\system32\svchost.exe инфицирован Win32/Qhost.ACB вирус.
12.03.2008 9:56:50 - AMON - сканер по доступу Инициирована программная вирусная тревога на xxx: C:\WINDOWS\System32\svchost.exe инфицирован Win32/Qhost.ACB вирус.
в карантине C:\WINDOWS\System32\DRIVERS\tcpip.sys - он чистый ....
других интересющих файлов нет ...
Перезалил. Забыл пароль поставить
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\windows\system32\route.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\lich.exe','');
BC_DeleteSvc('ZZZsvc_lich');
DeleteFile('C:\lich.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
Обновил карантин, но при выполнении скрипта вылетали красные надписи, типо ошибка карантиана, ошибка прямого чтения файла карантина.
повторите логи ....
Обновил логи
обновил, наконец-то
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('lich');
DeleteFile('C:\WINDOWS\system32\lich.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
отключите антивирус ..
c:\windows\system32\svchost.exe - запакуйте с паролем virus и пришлите согласно приложения 3 правил ....
снес НОД, выполнил скрипт. Выслал фаил.
c:\windows\system32\svchost.exe - [B]Trojan.Qhost.45080[/B]
замените на чистый (приатаченый).... и повторите логи ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\realvnc\\vnc4\\wm_hooks.dll - [B]not-a-virus:RemoteAdmin.Win32.WinVNC.4[/B] (DrWEB: Program.RemoteAdmin)[*] \\svchost.exe - [B]Trojan.Win32.Qhost.air[/B] (DrWEB: Trojan.Qhost.45080)[/LIST][/LIST]