Здравствуйте, такая ситуация: QIP, когда я в офлайне, рассылает всем из моего контакт листа ссылку на тест. Проверила cureit, нашлись трояны. Теперь не знаю, осталось ли чего еще. Вот логи:
Printable View
Здравствуйте, такая ситуация: QIP, когда я в офлайне, рассылает всем из моего контакт листа ссылку на тест. Проверила cureit, нашлись трояны. Теперь не знаю, осталось ли чего еще. Вот логи:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('dwshd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwb15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj47.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\rjjrzrzr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pavboot.sys','');
QuarantineFile('C:\WINDOWS\system32\blphcp40j0e553.scr','');
QuarantineFile('C:\WINDOWS\System32\atiddbxx.sys','');
QuarantineFile('C:\WINDOWS\system32\~.exe/r','');
QuarantineFile('atiddaxx.dll','');
DeleteService('wscsvcwuauserv');
DeleteService('wscsvcMessenger');
DeleteService('Winwb15');
DeleteService('Winfj47');
DeleteService('win32x');
DeleteService('VSSRasAuto');
DeleteService('UPSwuauserv');
DeleteService('TermServiceRDSessMgr');
DeleteService('SwPrvIDriverT');
DeleteService('rjjrzrzr');
DeleteService('RasAutoiPodService');
DeleteService('iPodServicePlugPlay');
DeleteService('dmserverNetlogon');
DeleteService('atiddbxx');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\dwshd.sys');
DeleteFile('dwshd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwb15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj47.sys');
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rjjrzrzr.sys');
DeleteFile('C:\WINDOWS\system32\blphcp40j0e553.scr');
DeleteFile('C:\WINDOWS\System32\atiddbxx.sys');
DeleteFile('C:\WINDOWS\system32\~.exe/r');
DeleteFile('C:\WINDOWS\system32\atiddaxx.dll');
DeleteFile('atiddaxx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcwuauserv');
BC_DeleteSvc('wscsvcMessenger');
BC_DeleteSvc('Winwb15');
BC_DeleteSvc('Winfj47');
BC_DeleteSvc('win32x');
BC_DeleteSvc('VSSRasAuto');
BC_DeleteSvc('UPSwuauserv');
BC_DeleteSvc('TermServiceRDSessMgr');
BC_DeleteSvc('SwPrvIDriverT');
BC_DeleteSvc('rjjrzrzr');
BC_DeleteSvc('RasAutoiPodService');
BC_DeleteSvc('iPodServicePlugPlay');
BC_DeleteSvc('dmserverNetlogon');
BC_DeleteSvc('atiddbxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
скрипт выполнен, карантин выслан, новые логи:
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
В логах чисто...
спасибо)) а я и забыла про фон рабочего стола
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\win32x.sys - [B]Trojan-Mailfinder.Win32.Agent.tv[/B] (DrWEB: Trojan.NtRootKit.1601)[/LIST][/LIST]