..., некоторые приложения тоже.
Вот логи!
ЗЫ: Спасибо ребята за то что вы есть!!! И особенное спасибо за помощь!!
Printable View
..., некоторые приложения тоже.
Вот логи!
ЗЫ: Спасибо ребята за то что вы есть!!! И особенное спасибо за помощь!!
Полный наборчик:
[CODE]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\kdyuo.exe','');
QuarantineFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteService('Winxc15');
DeleteService('Winua15');
DeleteService('Winty61');
DeleteService('Winsa84');
DeleteService('Winqv84');
DeleteService('Winjo50');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg83.sys','');
DeleteService('Winbg83');
BC_DeleteSvc('TlntSvrxmlprov');
BC_DeleteSvc('SysmonLogRSVP');
BC_DeleteSvc('seclogonAudioSrv');
BC_DeleteSvc('RemoteAccessEventSystem');
BC_DeleteSvc('helpsvcDnscache');
BC_DeleteSvc('ClipSrvseclogon');
BC_DeleteSvc('AdobeMessenger');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo50.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr');
DeleteFile('C:\WINDOWS\system32\kdyuo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
По окончанию лечения надо будет менять пароли.
Сделать новые логи.
карантин закачал, логи делаются!!!
_________________________________
[B]Результат загрузки[/B]
Файл сохранён как080715_021924_virus_487c4f7c771ff.zipРазмер файла387551MD58df6110f6ee5a63f4e2ee57efb790d7b[B]Файл закачан, спасибо![/B]
Логи готовы.
Вот они!!!
Профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Повтори скрипт из предыд. сообщения. Что-то большинство выжило. :(
После него сделать новые логи.
пофиксил!! провёл скрипт,вот логи
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('kdyuo.exe','');
BC_DeleteSvc('Winhm04');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm04.sys','');
BC_DeleteSvc('Pdq36');
QuarantineFile('Pdq36.sys','');
QuarantineFile('C:\WINDOWS\system32\pr2ajaqb.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ps6ajaqb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pe3ajaqb.sys','');
BC_DeleteSvc('SysmonLogRSVPAppMgmt');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('ccEvtMgrWmi');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('Pdq36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm04.sys');
DeleteFile('kdyuo.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правилповторите логи ....
карантин выслал!!
_________________________________________
[B]Результат загрузки[/B]
Файл сохранён как080715_085218_virus_487cab9238067.zipРазмер файла769873MD5e77396e92c1f36fe9cbaeb2a6ba6c642[B]Файл закачан, спасибо![/B]
Вот логи!!
c:\windows\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ....
выполните скрипт ...
[code]
begin
BC_DeleteSvc('SysmonLogRSVPAppMgmt');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....