Помогите разобратся с заразой. Обнаружил у себя какой-то шпион, который сохраняет историю посещения страниц и пароли к ним в файле 1.txt в корне диска C. Пока я создал тот же файл на диске C с атрибутом "только чтение".
Printable View
Помогите разобратся с заразой. Обнаружил у себя какой-то шпион, который сохраняет историю посещения страниц и пароли к ним в файле 1.txt в корне диска C. Пока я создал тот же файл на диске C с атрибутом "только чтение".
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\WASTEL~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\msg.dll','');
DeleteFile('c:\windows\system32\msg.dll');
DeleteFile('C:\DOCUME~1\WASTEL~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
BC_ImportALL;
BC_DeleteSvc('protect');
BC_DeleteSvc('Asp.d0mse');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Прикрепляю карантин и новые логи.
Файл virusinfo_syscure не влез в лимит.
[QUOTE=Wastelander;250502]Прикрепляю карантин и новые логи.
Файл virusinfo_syscure не влез в лимит.[/QUOTE]Это потому что карантин не правильно прислали.
Докладываю нужный лог. Карантин теперь закачал как надо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msg.dll - [B]Trojan-PSW.Win32.Agent.kbf[/B][*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Obfuscated.fna[/B][/LIST][/LIST]