Printable View
Всем привет.
У меня возникла такая проблема: ПКУ заражён каким-то вирусом, Каспер его не видит, он он есть – всё время отсылает спам…
Я заметил только через программку TcpView, там кучу процессов шлет запрос к каким-то адресам smtp.
Выкладываю необходимые логи
Нужны еще логи AVZ по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url]
файлы которых не хватало
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{B2D41883-3BFC-4BA0-A2F6-5A2C9836C238}\ACDSeeShowroomShortc_B2D418833BFC4BA0A2F65A2C9836C238.exe','');
QuarantineFile('C:\WINDOWS\Installer\{B2D41883-3BFC-4BA0-A2F6-5A2C9836C238}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\502d7954.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gdi32.sys','');
QuarantineFile('C:\WINDOWS\glok+648e-f5b.sys','');
DeleteFile('C:\WINDOWS\glok+648e-f5b.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gdi32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\502d7954.sys');
BC_ImportAll;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Sye51');
BC_DeleteSvc('gdi32');
BC_DeleteSvc('glok+648e-f5b');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26816[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O2 - BHO: C:\WINDOWS\system32\jdgf8edfsde.dll - {c5af49a2-94f3-42bd-f434-3604812c897d} - C:\WINDOWS\system32\jdgf8edfsde.dll (file missing) [/CODE]
Обновите базы АВЗ и повторите логи.
Скрипт выполнил, вот новые лог-и
[quote]virus.zip - архив карантина[/quote] - [color=red]удалено. Загружать по КРАСНОЙ ССЫЛКЕ.[/color]
Загрузите карантин по красной ссылке вверху страницы.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\502d7954.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\502d7954.sys');
BC_ImportAll;
BC_DeleteSvc('502d7954');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Как система?
Повторите логи.
Изменения появились – система перестала отправлять спам.
Но пропали настройки Интернета через IE и свойство папки, где в реестре можно это возобновить?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]