На одной из станций, которая активно работает с Интернетом - появился
вирус с сообщением как узаписано в заголовке
Высылаю согласно правил логи
АВЗ во втором прогоне не дает лог, поэтому только первый проход АВЗ и HIjack
Printable View
На одной из станций, которая активно работает с Интернетом - появился
вирус с сообщением как узаписано в заголовке
Высылаю согласно правил логи
АВЗ во втором прогоне не дает лог, поэтому только первый проход АВЗ и HIjack
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите
[CODE]O2 - BHO: Rmn plugin - {0DE68A8A-8158-4bde-8F5F-849F00AF31FB} - bsndcom.dll (file missing)
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\adminus\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\adminus\svchost.exe
O4 - Startup: userinit.exe[/CODE]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\shchegolkova\svchost.exe');
QuarantineFile('C:\Documents and Settings\adminus\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\adminus\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\bsndcom.dll','');
QuarantineFile('C:\Documents and Settings\shchegolkova\svchost.exe','');
QuarantineFile('C:\Documents and Settings\shchegolkova\explorer.dll','');
QuarantineFile('c:\documents and settings\shchegolkova\svchost.exe','');
DeleteFile('c:\documents and settings\shchegolkova\svchost.exe');
DeleteFile('C:\Documents and Settings\shchegolkova\svchost.exe');
DeleteFile('C:\WINDOWS\system32\bsndcom.dll');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\shchegolkova\explorer.dll');
DeleteFile('C:\Documents and Settings\adminus\svchost.exe');
DeleteFile('C:\Documents and Settings\adminus\Главное меню\Программы\Автозагрузка\userinit.exe');
DelBHO('{0DE68A8A-8158-4bde-8F5F-849F00AF31FB}');
BC_DeleteSvc('Schedule');
BC_Importall;
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=25158[/url] , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\adminus\\svchost.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[*] c:\\documents and settings\\adminus\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[*] c:\\documents and settings\\localservice\\svchost.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[*] c:\\documents and settings\\shchegolkova\\explorer.dll - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.DownLoad.952)[*] c:\\documents and settings\\shchegolkova\\svchost.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[*] c:\\windows\\system32\\bsndcom.dll - [B]Trojan-Downloader.Win32.BHO.kp[/B] (DrWEB: Trojan.DownLoad.4087)[*] c:\\windows\\system32\\drivers\\services.exe - [B]Trojan-Downloader.Win32.Small.xpi[/B] (DrWEB: Trojan.Alupko.5)[/LIST][/LIST]