Printable View
поймали пандекс.
Посылаю логи, сделанные AVZ и Hijackthis,хелп, плиз.
Заодно хотелось бы немного понять логику составления этих скриптов против пандекса, если не трудно, объясните(в принципе я понял, что скрипт можно создавать с поощью HTML, образующегося в результате работы AVZ). Просто чувствую, я с пандексом еще столкнусь.:)
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteService('Winxd84');
DeleteService('Winvb51');
DeleteService('Winua62');
DeleteService('Winta51');
DeleteService('Winta05');
DeleteService('Winrw27');
DeleteService('Winqv84');
DeleteService('Winqv05');
DeleteService('Winns73');
DeleteService('Winns51');
DeleteService('Winns05');
DeleteService('Winfk73');
DeleteService('Winfk27');
DeleteService('Winej72');
DeleteService('Windj51');
DeleteService('Winaf40');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfk73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd84.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
повторяю логи после скрипта
Да, и еще вопрос про pandex: его какой-нибудь антивирус вообще корректно отлавливает? и можно ли в ближайшее время ожидать каких-то обновлений AVZ, которые будут его выщёлкивать?
пофиксите...
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winns73');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте полный комплект логов ...(их должно быть 3)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.awg[/B] (DrWEB: Trojan.MulDrop.18278)[/LIST][/LIST]