На машине постоянно заводятся трояны и вирусы. При проверке CureIT система свалилась в бсод, повторная проверка прошла успешно.
Printable View
На машине постоянно заводятся трояны и вирусы. При проверке CureIT система свалилась в бсод, повторная проверка прошла успешно.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\NT36F5932.exe','');
QuarantineFile('scvhosting.exe','');
QuarantineFile('C:\WINDOWS\avserve2.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\basewfv32.dll','');
DeleteFile('C:\WINDOWS\system32\basewfv32.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\avserve2.exe');
DeleteFile('C:\WINDOWS\system32\scvhosting.exe');
DeleteFile('C:\WINDOWS\Temp\NT36F5932.exe');
BC_ImportALL;
SysCleanAddFile('scvhosting.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=23938[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Очистите ПК (ссылка в моей подписи)
Пофиксите
[CODE]O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\Policies\Explorer\Run: [1] net use t: \\srv02\îáùàÿ$
O4 - HKUS\S-1-5-18\..\RunOnce: [starter] scvhosting.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [starter] scvhosting.exe (User 'Default user')[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\NT7232.exe','');
QuarantineFile('C:\WINDOWS\Temp\NT36F5932.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\avserve2.exe','');
QuarantineFile('scvhosting.exe','');
DeleteFile('C:\WINDOWS\Temp\NT36F5932.exe');
DeleteFile('C:\WINDOWS\Temp\NT7232.exe');
DeleteFile('scvhosting.exe');
DeleteFile('C:\WINDOWS\avserve2.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите логи.
Повтор логов.
При запуске скрипта [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" [/B]система показала BSOD, в нем указывался файл win32k.sys
Это не фиксил, т.к. это сетевая папка на русском языке отбражается
[CODE]O4 - HKCU\..\Policies\Explorer\Run: [1] net use t: \\srv02\îáùàÿ$
[/CODE]
[QUOTE=Garfeild;239022]
Это не фиксил, т.к. это сетевая папка на русском языке отбражается
[CODE]O4 - HKCU\..\Policies\Explorer\Run: [1] net use t: \\srv02\îáùàÿ$
[/CODE][/QUOTE]ОК, главное - Вы знаете что это :).
Сейчас в логах чисто. Проблемы есть?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\nt36f5932.exe - [B]Trojan-Dropper.Win32.Agent.seg[/B] (DrWEB: Trojan.MulDrop.16286)[/LIST][/LIST]