опять трои скорей всего(сканю 2-й комп)

Printable View

30.09.2008, 22:42
GoldSnow

опять трои скорей всего(сканю 2-й комп)

ы
30.09.2008, 22:57
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\tknapl.exe','');
QuarantineFile('G:\tknapl.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\tknapl.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\ps.bat','');
QuarantineFile('C:\rdsfk.com','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\rdsfk.com');
DeleteFile('C:\ps.bat');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\tknapl.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\tknapl.exe');
DeleteFile('H:\tknapl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
30.09.2008, 23:24
GoldSnow

карантинку закатал
вот логи
а через флехи та дрянь с а3г3.бат может переноситься?
30.09.2008, 23:42
V_Bond

именно флешкой ....
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PowerManager');
QuarantineFile('PowerManager.sys','');
QuarantineFile('c:\windows\svchost.exe','');
DeleteFile('c:\windows\svchost.exe');
DeleteFile('PowerManager.sys');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP8\A0000375.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP9\A0000398.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP9\A0000437.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP10\A0000447.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP10\A0000471.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP10\A0000494.COM');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP11\A0000575.bat');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP11\A0000545.bat');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP11\A0000506.bat');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP13\A0000753.com');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP13\A0000754.bat');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
30.09.2008, 23:55
GoldSnow

Вложений: 3

ы
01.10.2008, 00:15
V_Bond

логи старые
01.10.2008, 19:32
GoldSnow

Вложений: 3

а эти
01.10.2008, 20:03
GoldSnow

непонятно только зачем нужны 3 лога если вы смотрите только 1
01.10.2008, 20:05
V_Bond

логи сделаны до выполния скрипта ... нужны новые что непонятно ?
01.10.2008, 20:16
GoldSnow

Вложений: 3

сори папки с логами перепутал
вот новые
01.10.2008, 20:47
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP12\A0000586.bat');
DeleteFile('C:\System Volume Information\_restore{8617B4A4-FD84-4A53-9028-907409DE75EE}\RP12\A0000691.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
01.10.2008, 20:51
GoldSnow

карантин отправил
новые логи делать?
01.10.2008, 20:58
V_Bond

virusinfo_syscheck.zip повторите
01.10.2008, 21:12
GoldSnow

Вложений: 1

вот
01.10.2008, 21:19
Гриша

В логах чисто...
01.10.2008, 21:28
GoldSnow

это хорошо
но у меня ещё гдето 2 флехи валяються на нх может вируня быть
01.10.2008, 21:39
Гриша

С ними точно так же как с хардом :)
22.02.2009, 08:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]82[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.tmkf[/B] (DrWEB: Trojan.PWS.Wsgame.4983)[*] c:\\ps.bat - [B]Worm.Win32.AutoRun.pnp[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\rdsfk.com - [B]Trojan.Win32.Vaklik.duq[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp10\\a0000447.com - [B]Worm.Win32.AutoRun.osf[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp10\\a0000471.com - [B]Worm.Win32.AutoRun.osf[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp10\\a0000494.com - [B]Trojan.Win32.Vaklik.duq[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp11\\a0000506.bat - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp11\\a0000545.bat - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp11\\a0000575.bat - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp12\\a0000586.bat - [B]Worm.Win32.AutoRun.pnp[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp12\\a0000691.bat - [B]Worm.Win32.AutoRun.pnp[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp13\\a0000753.com - [B]Trojan.Win32.Vaklik.duq[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp13\\a0000754.bat - [B]Worm.Win32.AutoRun.pnp[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp8\\a0000375.com - [B]Trojan.Win32.Vaklik.dpv[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp9\\a0000398.com - [B]Worm.Win32.AutoRun.osf[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\system volume information\\_restore{8617b4a4-fd84-4a53-9028-907409de75ee}\\rp9\\a0000437.com - [B]Worm.Win32.AutoRun.osf[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\tknapl.exe - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\amvo.exe - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\amvo0.dll - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\amvo1.dll - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] g:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.tmkf[/B] (DrWEB: Trojan.PWS.Wsgame.4983)[*] g:\\tknapl.exe - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[*] h:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.tmkf[/B] (DrWEB: Trojan.PWS.Wsgame.4983)[*] h:\\tknapl.exe - [B]Packed.Win32.Krap.b[/B] (DrWEB: Trojan.Nsanti.Packed)[/LIST][/LIST]