стоит постоянно включенный VBA но вирус все-равно пролез
постоянно появляются сессии к внешним smtp серверам
на компьютере стоит Radmin по причине его удаленности компьютера, через него и сохранялись логи
Printable View
стоит постоянно включенный VBA но вирус все-равно пролез
постоянно появляются сессии к внешним smtp серверам
на компьютере стоит Radmin по причине его удаленности компьютера, через него и сохранялись логи
Скачайте [url=http://wise-wistful.ifolder.ru/6132475]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Winot38.sys, C:\WINDOWS\system32\WinCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\temp\backups\backup-20080709-110538-579.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\rwC73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm51.sys','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winot38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhm51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rwC73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx73.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Winot38');
BC_DeleteSvc('rwC73');
BC_DeleteSvc('Winrx73');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Bhm51');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26163[/url]
Повторите логи.
файл закачал,
только не назначил пароль на архив :(
АВЗ сама ставит пароль. Делайте новые логи. Как система?
выкладываю логи
сетевая активность не проявляется больше
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ [/CODE]
Проблемы какие-то наблюдаются?
огромное спасибо, вирусной активности больше не наблюдается
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\temp\\backups\\backup-20080709-110538-579.dll - [B]Trojan-Spy.Win32.Iespy.bdw[/B][*] c:\\windows\\system32\\drivers\\rwc73.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\drivers\\winrx73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.bdw[/B][/LIST][/LIST]