Доброго времени суток, проблема в вышеназваных файлах, плю постоянно при каждом запуске какого либо приложения проскакивает cmd-окно...
Printable View
Доброго времени суток, проблема в вышеназваных файлах, плю постоянно при каждом запуске какого либо приложения проскакивает cmd-окно...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\Documents and Settings\Misha\Local Settings\Application Data\spool.exe','');
DeleteService('Winyf17');
DeleteService('Winxe52');
DeleteService('Winwe85');
DeleteService('Winry63');
DeleteService('Winry28');
DeleteService('Winqw06');
DeleteService('Winms85');
DeleteService('Winjp41');
DeleteService('Winhn63');
DeleteService('Winhn17');
DeleteService('Wingm06');
DeleteService('Wincj28');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\drivers\ctfmon.exe','');
DeleteFile('c:\windows\system32\drivers\ctfmon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn17.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhn63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winyf17.sys');
DeleteFile('C:\Documents and Settings\Misha\Local Settings\Application Data\spool.exe');
DeleteFile('C:\WINDOWS\system32\blphc9paj0en6c.scr');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
все выполнил. карантин загрузил, но пароль перепутал и вбил в руской расскладке:)
вроде слегка полегчало, но НОД и АВЗ все равно при скане памяти чегойто находят.
интересно что может находить отключенный антивирус ? или вы правила не читали ?
пуск - выполнить sfc /scannow (понадобится диск с дистрибутивом)
затем новые логи ...
у меня нод в автозагрузке, по условиям скрипта после его выполненния машина ребутится, и при загрузке нод опять всплывает и начинает шушршать... вот сразу после перезагрузки амон выдал мне что инфицировано 4 файла (2 из них радмин).
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. Перегрузить систему, далее по тексту.
что за команда sfc /scannow? ни через пуск-выполнить, ни через cmd не выполняется.
[QUOTE=sTrIKer;280335]что за команда sfc /scannow? [/QUOTE][url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=12&y=12[/url]
вот логи после выключеной автозагрузки
проверка целостности системных файлов (sfc /scannow) выполнялась ?
нет не проверялась, у меня нет дистриба, а через пуск-выполнить команда не выполняется:(
[QUOTE=sTrIKer;280426]нет не проверялась, у меня нет дистриба,
[/QUOTE]ищите ... можно попробовать установить сразу сп 3 но не советую...
[QUOTE=sTrIKer;280426]
а через пуск-выполнить команда не выполняется:([/QUOTE]
это как ? если нет дистрибутива конечно ... не выполнится
не дождавшись вашего совета успел установить сп3:) ща вроде все работает но до повторной проверки авз еще руки не дошли.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\misha\\local settings\\application data\\spool.exe - [B]Trojan-Downloader.Win32.Agent.nmi[/B] (DrWEB: BackDoor.FireOn.10)[*] c:\\windows\\system32\\braviax.exe - [B]Hoax.Win32.Renos.vbbl[/B] (DrWEB: Trojan.Packed.612)[*] c:\\windows\\system32\\drivers\\ctfmon.exe - [B]Trojan-Downloader.Win32.Agent.nmi[/B] (DrWEB: BackDoor.FireOn.10)[*] c:\\windows\\system32\\lsass.exe - [B]Trojan.Win32.Patched.cx[/B][*] c:\\windows\\system32\\spoolsv.exe - [B]Trojan.Win32.Patched.cx[/B][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bgk[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]