В общем симантек обнаружил попытку отправки почтовых сообщений. И заблокировал. Но вирус или троян не удалил. Нашел только двух Trojan.PeaComm.D и Backdoor.little Witch.
Логи высылаю, созданные с помощью AVZ и хайджей.
Printable View
В общем симантек обнаружил попытку отправки почтовых сообщений. И заблокировал. Но вирус или троян не удалил. Нашел только двух Trojan.PeaComm.D и Backdoor.little Witch.
Логи высылаю, созданные с помощью AVZ и хайджей.
Отключите антивирус и интернет!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [advap32] "c:\u513gp.exe" /r
O4 - HKLM\..\Run: [[system]] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [winlogon] E:\Documents and Settings\kassir.BSG\cftmon.exe
O4 - HKCU\..\Run: [[system]] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [winlogon] E:\Documents and Settings\kassir.BSG\cftmon.exe
O4 - Startup: MSWin-1723015249.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\system32\drivers\spools.exe');
TerminateProcessByName('e:\documents and settings\kassir.bsg\ie_updates3r.exe');
SetServiceStart('Google Online Services', 4);
StopService('Google Online Services');
QuarantineFile('F:\startcd.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\u513gp.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('E:\Documents and Settings\kassir.BSG\cftmon.exe','');
QuarantineFile('E:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('E:\WINDOWS\System32\Drivers\fkP27.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\fkP26.sys','');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('e:\windows\system32\drivers\spools.exe','');
QuarantineFile('e:\documents and settings\kassir.bsg\ie_updates3r.exe','');
DeleteService('fkP26');
DeleteService('fkP27');
DeleteService('Google Online Services');
DeleteFile('e:\documents and settings\kassir.bsg\ie_updates3r.exe');
DeleteFile('e:\windows\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('E:\WINDOWS\System32\Drivers\fkP26.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\fkP27.sys');
DeleteFile('E:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('E:\Documents and Settings\kassir.BSG\cftmon.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\u513gp.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fkP26 ');
BC_DeleteSvc('fkP27 ');
BC_DeleteSvc('Google Online Services ');
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23883[/url]
Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]
autorun.inf, cr_call.bak, cr_msapi.bak, cr_ossl.bak, InstLib.bak, libeay32.bak, startcd.exed
Вредоносный код в файлах не обнаружен.
cftmon.exed - [B]P2P-Worm.Win32.Agent.bz[/B]
u513gp.exed - [B]Trojan-Downloader.Win32.Mutant.abu[/B]
WinCtrl32.dll - [B]Trojan-Downloader.Win32.Mutant.abp[/B]
ie_updates3r.exed - [B]Trojan-Downloader.Win32.Winlagons.mk[/B]