В процессе проверки Каспером, тот отловил более 2000 единиц всякой нечести, хотелось бы удостовериться в том, что комп больше не заражён. Прошу посмотреть логи.
Printable View
В процессе проверки Каспером, тот отловил более 2000 единиц всякой нечести, хотелось бы удостовериться в том, что комп больше не заражён. Прошу посмотреть логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\DirRest\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\Documents and Settings\DirRest\Local Settings\Application Data\smss.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\Documents and Settings\DirRest\Local Settings\Application Data\smss.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\ShellNew\sempalong.exe');
DeleteFile('C:\Documents and Settings\DirRest\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msupdate ');
BC_Activate;
ClearHostsFile;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21264[/url]
Повторите логи.
Пофиксить в hijackthis, если остануться:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\DirRest\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [LoadService] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CCAPPS] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [OSA] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SymRun] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [local service] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Security] (User 'SYSTEM')[/code]
Всё выполнено, вот новые логи:
Не вижу вашего карантина?
карантин то, загрузите!
Осталось только принять меры для предотвращения следующих заражений и всё будет в шоколаде ;)
Завести пользователя с ограниченными правами+ гулять по сайтам разумно- без скриптов по умолчанию и разрешать только доверенным.- noscript справляется с этим лучше всех.
Можно ещё отключить не нужные службы - это даёт примерно 2-5 процентов дополнительной безопасности.
Вот:
Файл сохранён как080409_031145_virus_47fc7a4157c57.zipРазмер файла338689MD507a86d7c47eb8f359594dc185300e27b
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.aqo[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]