Проверте логи пожалуйста, может чтото не долечил.
Заранее спасибо!
Printable View
Проверте логи пожалуйста, может чтото не долечил.
Заранее спасибо!
[quote=MoPDBuH;246212]может чтото не долечил.[/quote]
Да уж... ;)
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\~tmp1174.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winos48.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qva47.sys','');
QuarantineFile('C:\WINDOWS\system32\fci.exe','');
DeleteFile('C:\WINDOWS\system32\fci.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Qva47.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winos48.sys');
DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\0XSNGZOB\svvcchosts[1].exe');
DeleteFile('C:\Documents and Settings\Пользователь\~tmp1174.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportALL;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25263[/url]).
Сделайте новые логи.
Пока один
С помощью Ice Sword ([url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url])
надо сделать Force Delete для следующих файлов:
C:\WINDOWS\System32\Drivers\Qva47.sys
C:\WINDOWS\System32\Drivers\Winos48.sys
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
и сразу после этого выполнить скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Qva47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winos48.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winos48');
BC_DeleteSvc('Qva47');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки повторите логи, начиная с п.10 правил.
Пришлите карантин повторно, он потерялся из-за сбоя на сервере.
Есть еще одно подозрение, которое надо проверить.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\пользователь\\local settings\\temporary internet files\\content.ie5\\0xsngzob\\svvcchosts[1].exe - [B]Trojan-Downloader.Win32.Mutant.bg[/B] (DrWEB: Trojan.DownLoader.49586)[*] c:\\documents and settings\\пользователь\\~tmp1174.exe - [B]Trojan-Downloader.Win32.Mutant.q[/B] (DrWEB: Trojan.DownLoader.49586)[*] c:\\windows\\svchost.exe - [B]Trojan.Win32.Pakes.cje[/B] (DrWEB: Trojan.DownLoader.37508)[*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.cl[/B] (DrWEB: Trojan.DownLoader.35134)[/LIST][/LIST]