Printable View
Добрый день, уважаемые спецы!
На рабочей станции возникла проблемка, пропала обоина и вместо нее выводилось сообщение о наличии вирусов и предложении их излечить. После долгих прогонов AVZ вроде все было вычищено, включая и руткит, но могли остаться какие-то следы, которые я не заметил. Посмотрите пожалуйств все ли нормально.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7qvxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7glxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0lqxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
StopService('ati7qvxx');
StopService('ati7glxx');
StopService('ati0lqxx');
DeleteService('ati7qvxx');
DeleteService('ati7glxx');
DeleteService('ati0lqxx');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0lqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7glxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qvxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati7qvxx');
BC_DeleteSvc('ati7glxx');
BC_DeleteSvc('ati0lqxx');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Файл - 081002_092731_virusinfo_cure_48e4da537fdfb.zip
MD5 - f4fbe37c43c9e69b8b618a3d9c945cac
Размер файла - 1179513
Ничего плохого не вижу.
Жалобы есть?
Да вроде нет.... хотя после перезагрузки из system32\drivers\ Семантек удалил еще одного зверя... Но пока вроде все нормально.... Еще смущает наличие program_files\common_files\wuauclt.exe по-моему он не там должен лежать.....
А так, спасибо большое!
[QUOTE=Vialendil;291842]Еще смущает наличие program_files\common_files\wuauclt.exe по-моему он не там должен лежать.....
[/QUOTE]Конечно нет,но в логах его тоже не видно.
Ну вобщем я его грохнул.... пока вроде все нормально и обновление тоже работает.... видимо просто какие-то следы остались...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft common\\wuauclt.exe - [B]Worm.Win32.AutoRun.prf[/B] (DrWEB: Trojan.Inject.3928)[/LIST][/LIST]