Добрый день.
В системе появился троян, сидит и шлет почту во все концы :(
Обычный антивирус его не видит и лечить не хочет. Прогнал, согласно правилам, утилиты. Логи в аттаче.
Printable View
Добрый день.
В системе появился троян, сидит и шлет почту во все концы :(
Обычный антивирус его не видит и лечить не хочет. Прогнал, согласно правилам, утилиты. Логи в аттаче.
отключите восстановление системы !!!
[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\System32\Drivers\Winci61.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winci61');
DeleteService('winmgmtALG');
DeleteService('ThemesBITS');
DeleteService('MSIServerSCardSvr');
DeleteService('mnmsrvcTlntSvr');
DeleteService('ERSvcClipSrv');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winci61.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winci61.sys');
DeleteFile('srv.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Сорр по отключению... Посмотрел и подумал, что без галочки - это отключено :(
Скачал по ссылке прогу, nod32 ругнулся на вирус... Это правильно или нет? Я и не стал запускать...
Карантин выслал. Логи в аттаче.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('LmHostsNOD32krn');
DeleteFile('C:\WINDOWS\system32\Drivers\Winci61.sys');
DeleteFile('srv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winci61');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Отключил, выкладываю.
В IceSword сделайте этому файлику Winci61.sys Force Delete...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winci61');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winci61');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Сделал как написано. Прикладываю логи.
ничего подозрительного ...
Ок :) Спасибо
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Email-Worm.Win32.Joleee.c[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Dropper.Win32.Mutant.l[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]