Printable View
Был замечен подозрительный файл на диске С runmgr.exe. Который периодически запускает процессы runmgr.exe. Залез в енет и прочитал, мол это новый вирус (в прошлом месяце вышел) с букетом всяких неприятностей.
Стоит Dr.Web с последней базой. Ничего не нашел.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ифрит\Local Settings\Temporary Internet Files\Content.IE5\UHGAWHTW\aplanet[2].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe','');
QuarantineFile('c:\runmgr.exe','');
DeleteFile('c:\runmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe');
DeleteFile('C:\Documents and Settings\Ифрит\Local Settings\Temporary Internet Files\Content.IE5\UHGAWHTW\aplanet[2].exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Готово
пофиксите ....
[code]
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
[/code]
больше ничего плохого в логах ....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ифрит\\local settings\\temporary internet files\\content.ie5\\uhgawhtw\\aplanet[2].exe - [B]Trojan.Win32.Qhost.kfa[/B] (DrWEB: Trojan.Qhost.45411)[*] c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sic32.exe - [B]Trojan.Win32.Small.bgp[/B] (DrWEB: Win32.HLLW.Autoruner.2077)[*] c:\\runmgr.exe - [B]Trojan.Win32.Agent.afpk[/B] (DrWEB: Trojan.Packed.162)[/LIST][/LIST]