та же беда
Printable View
та же беда
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\temp\sso\ssoexec.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('UsrLogon.Cmd','');
DeleteFile('C:\WINDOWS\svchost.exe');
// DeleteFile('%windir%\temp\sso\ssoexec.dll');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\copy.exe');
DeleteFile('C:\copy.exe');
DeleteFile('E:\copy.exe');
DeleteFile('F:\copy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин. Сделать новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Отключить через мастер решения проблем:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носите
немного не понял :
""Отключить через мастер решения проблем:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носите""
Где взять этого мастера?
И надо ли это проделывать на всех трёх компах (темы temp2.exe, temp2.exe третий комп)? Спасибо
Это вот так:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Вы бы сначала с первым разобрались компьютером,так врядли толком что получится,компьютеры от сети отключать иначе все будет возвращаться с зараженных машин.
Спасибо за понимание.
Эти компы расположены сейчас далеко от меня и в интернет доступа у них нету, так что по одному с ними разбираться не получиться. Мне придётся ехать туда, делать все сразу, а потом пришлю все карантины и логи.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
И отпишитесь пожалуйста по поводу третьего компа. Заранее Спасибо!
После вышеописанных действий вместо ошибки temp2.exe начаали вылезать сначала: "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку".
Вот логи
Логи снимал, когда компы от сетки были отключены.
Вот скриптик для него:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('%windir%\temp\sso\ssoexec.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этой операции еще разок повторить все логи.
По Симантеку [b]C:\WINDOWS\svchost.exe Trojan Horse[/b]
Эээ... по симан... чему? Последнюю строчку недопонял)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
И что-таки делать с вылезающими ошибками svchost?
Это название того, что там сидело.
Trojan-Dropper.Win32.Small.apl по Касперскому.
После последнего скрипта ошибки должны исчезнуть.
Cкрипты выполнил, а ошибки остались - "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку". Что делать?
Вот логи.
В сетке три компа.
пофиксите ...
[code]
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,%windir%\system32\userinit.exe,
O20 - Winlogon Notify: SSOExec - %windir%\temp\sso\ssoexec.dll (file missing)
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%windir%\temp\sso\ssoexec.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Ошибки исчезли, вот логи
рекомендации теже ... сделать логи новой версией авз ...
Да! Больше логов!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan-Dropper.Win32.Small.apl[/B] (DrWEB: Trojan.MulDrop.4181)[/LIST][/LIST]