exp7.exe

Printable View

10.10.2008, 12:16
Oushen

Вложений: 3

аналогично: хттп://***.2.252.33/buka/exp7.exe

Произошла та же самая ситуация, что и темой ниже: постоянно высвечиваются сообщения от NOD: атака с адреса 1*/cap/protect и 1*3/buka/exp
Прошу Вас помочь.
10.10.2008, 12:22
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
10.10.2008, 13:09
Oushen

Вложений: 3

карантин прислал, логи прикрепил.
10.10.2008, 17:07
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\SPTUWPLQ.sys','');
BC_ImportQuarantineList;
BC_QrSvc('SPTUWPLQ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузите карантин...
12.10.2008, 19:19
Oushen

карантин загрузил. Кстати, NOD уже молчит :)
12.10.2008, 19:33
V_Bond

SPTUWPLQ.sys - Rootkit.Win32.Agent.egc
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('SPTUWPLQ');
SetServiceStart('SPTUWPLQ', 4);
DeleteFile('C:\WINDOWS\system32\drivers\SPTUWPLQ.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
12.10.2008, 21:44
Oushen

Вложений: 3

скрипт выполнил, логи прикрепил.
12.10.2008, 21:52
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Повторите логи AVZ...
22.02.2009, 08:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\sptuwplq.sys - [B]Rootkit.Win32.Agent.egc[/B] (DrWEB: Trojan.Sentinel.147)[*] c:\\windows\\system32\\twext.exe - [B]Trojan-Spy.Win32.Zbot.fgz[/B] (DrWEB: Trojan.PWS.Panda.21)[/LIST][/LIST]