В системе обнаружен BN2.tmp Происходит массовая рассылка почты.
Во время подготовки логов активность вируса не уменьшилась.
Логи прилагаю.
Printable View
В системе обнаружен BN2.tmp Происходит массовая рассылка почты.
Во время подготовки логов активность вируса не уменьшилась.
Логи прилагаю.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Rxc48.sys ,C:\WINDOWS\System32\drivers\tcpsr.sys - force delete
выполните скрипт авз ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Ygk26');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ygk26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ouY50.sys','');
BC_DeleteSvc('ouY50');
BC_DeleteSvc('Rxc48');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Rxc48.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Rxc48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ouY50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygk26.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Вот повтор логов.
Файла tcpsr.sys обнаружено небыло
пофиксите
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
больше ничего подозрительного ....
Спасибо.