Printable View
Выскакивает сообщение от аваста "обнаружено возможное заражение".... И появляется окно:
Слишком много идентичных электронных писем в определенное время
Отправитель: "Vijay Wise" <[EMAIL="[email protected]"][email protected][/EMAIL]>
Получатель: <[EMAIL="[email protected]"][email protected][/EMAIL]>
Тема: Man Lebt nur einmal - probiers aus !
Скачать IceSword. Через него скопировать куда-нибудь файл:'C:\WINDOWS\System32\Drivers\Pbq66.sys', затем нажать force delete.
Согласиться на перезагрузку.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Pbq66.sys','');
SetServiceStart('Pbq66', 4);
QuarantineFile('hex(2):53','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pbq66.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Pbq66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pbq66.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин и сделать новые логи.
а где взять этот IceSword?
[url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
Запускаешь, далее file, в окошке ищешь файлы и выполняешь действия. Аккуратно, плс, не удаляй лишнего.
вроде все сделал, вот новые логи
И пару вопросов еще: у меня подобная ситуация происходит не первый раз, что это вообще такое? с чем это связано и как этого избежать в дальнейшем? и еще что мне делать с тем файлом который я копировал через программу?
Его найти в AVZ, засунуть в карантин и прислать согласно Правил Приложения 3.
Отправил
Карантин присылай весь.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А был у тебя спам-бот ;)
ясно, отправил, тока там я нажал автодобавление в карантин...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Будут еще какие-нибудь указания?))))
Будут чуть попозже. У тебя в логах какой-то хитрый драйвер болтается. Интересно узнать от чего он остался такой красивый.
Хм, самому интересно)
Придется применять ручной метод:
в AVZ - Сервис - Диспетчер служб и драйверов - В обеих полях вверху поставить показать "Все". Найти 'hex(2):53', нажать "копировать в карантин".
Прислать только его.
что-то я не могу найти такого...
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
нет такого
[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]
а не, нашел, тока в карантин его нельзя скопировать
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
пишет вот что: Ошибка карантина файла, попытка прямого чтения (hex(2):53)
Карантин с использованием прямого чтения - ошибка
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]92[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\1 - [B]Rootkit.Win32.Agent.atp[/B] (DrWEB: BackDoor.Bulknet.217)[/LIST][/LIST]