-
Вложений: 3
Win32/Statik одолевает!
Здравствуйте! Недавно залез на какой то нехороший сайт... И после этого начались атаки:
02.10.2008 9:43:15 Фильтр
HTTP файл :http:195.2.252.33/cap/protect :http:195.2.252.33/cap/protect вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe.
28.09.2008 10:26:32 Фильтр HTTP файл :http:195.2.252.33/hh/sp/v6.exe :http:195.2.252.33/hh/sp/v6.exe вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe.
Nod их пока ловит, но кто знает что случится... Помогите, пожалуйста!))
-
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteService('Winxi70');
DeleteService('Winvv78');
DeleteService('Winuf12');
DeleteService('Winto35');
DeleteService('Winsx80');
DeleteService('Winsd81');
DeleteService('Winrh23');
DeleteService('Winql12');
DeleteService('Winlv68');
DeleteService('Winlq60');
DeleteService('Winlb01');
DeleteService('Winkp01');
DeleteService('Winkk24');
DeleteService('Winjj01');
DeleteService('Winis57');
DeleteService('Winhw24');
DeleteService('Winhh12');
DeleteService('Winfp57');
DeleteService('Winet34');
DeleteService('Wineo82');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvv78.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuf12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winto35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrh23.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlv68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlb01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkk24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjj01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winis57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhw24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhh12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wineo82.sys','');
DeleteService('ati7mwxx');
DeleteService('ati4puxx');
DeleteService('ati0kkxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7mwxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4puxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0kkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7mwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineo82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winet34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfp57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhw24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winis57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjj01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkk24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlb01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlv68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winql12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrh23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winto35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuf12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvv78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi70.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\spools.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пришлите карантин по правилам и повторите логи...
-
Вложений: 3
Вот посмотрите, пожалуйста. Только не знаю дошел ли до вас карантин... после загрузки было написано "РЕЗУЛЬТАТ ЗАГРУЗКИ" и все...)))
-
пофиксите
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
-
-
какие проблемы остались ?
-
Вроде все нормально... Спасибо большое!:)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]108[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\twext.exe - [B]Trojan-Spy.Win32.Zbot.fbf[/B] (DrWEB: Trojan.Packed.142)[/LIST][/LIST]
Page generated in 0.00421 seconds with 10 queries