Постоянно идёт трафик исходящий, ну и соответственно в ответ входящий....
Очень прошу помощи, заранее благодарю!
Printable View
Постоянно идёт трафик исходящий, ну и соответственно в ответ входящий....
Очень прошу помощи, заранее благодарю!
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[3].htm','');
QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[1].htm','');
QuarantineFile('E:\WINDOWS\system32\Drivers\csrbc01.sys','');
QuarantineFile('E:\WINDOWS\msupdater.exe','');
QuarantineFile('e:\windows\system32\wind32.exe','');
QuarantineFile('e:\windows\system32\vedxga1me4t1.exe','');
QuarantineFile('e:\windows\system32\vedxg4am1et2.exe','');
QuarantineFile('e:\windows\msupdater.exe','');
QuarantineFile('e:\windows\system32\back.exe.exe','');
DeleteFile('e:\windows\system32\back.exe.exe');
DeleteFile('e:\windows\msupdater.exe');
DeleteFile('e:\windows\system32\vedxg4am1et2.exe');
DeleteFile('e:\windows\system32\vedxga1me4t1.exe');
DeleteFile('e:\windows\system32\wind32.exe');
DeleteFile('E:\WINDOWS\msupdater.exe');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[1].htm');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[2].htm');
DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0DQR45UV\access[3].htm');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
А вот и последние логи...
А вот (последний) скрипт ;)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\system32\maxpaynow1.exe');
QuarantineFile('E:\WINDOWS\system32\maxpaynow1.exe','');
DeleteFile('E:\WINDOWS\system32\maxpaynow1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После ребута - карантин по правилам и логи в студию.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\0dqr45uv\\access[1].htm - [B]not-a-virus:Porn-Dialer.Win32.GBDialer.j[/B] (DrWEB: Dialer.Maxd)[*] e:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\0dqr45uv\\access[3].htm - [B]not-a-virus:Porn-Dialer.Win32.GBDialer.j[/B] (DrWEB: Dialer.Maxd)[*] e:\\windows\\msupdater.exe - [B]Email-Worm.Win32.Zhelatin.zy[/B] (DrWEB: Trojan.DownLoader.62867)[*] e:\\windows\\system32\\back.exe.exe - [B]Email-Worm.Win32.Zhelatin.zy[/B] (DrWEB: Trojan.DownLoader.62867)[*] e:\\windows\\system32\\maxpaynow1.exe - [B]Trojan-Downloader.Win32.Tibs.aby[/B] (DrWEB: Trojan.Packed.510)[*] e:\\windows\\system32\\vedxga1me4t1.exe - [B]Trojan-Downloader.Win32.Tibs.aby[/B] (DrWEB: Trojan.Packed.510)[*] e:\\windows\\system32\\vedxga5me3.exe - [B]Trojan-Downloader.Win32.Small.xhc[/B] (DrWEB: Trojan.DownLoad.1015)[*] e:\\windows\\system32\\vedxg4am1et2.exe - [B]Trojan-Downloader.Win32.Tibs.aby[/B] (DrWEB: Trojan.Packed.510)[*] e:\\windows\\system32\\wind32.exe - [B]Trojan-Downloader.Win32.Tibs.abp[/B] (DrWEB: Trojan.Packed.497)[/LIST][/LIST]