Printable View
При загруске винды выскочил какойто *антивирус* Antivirus XP 2008, он сказал что на компе 96 вирусов, при попытке удалить их через него он просит оплатить 8 рублей в день =) На следующий день при загрузке компа появляется только обоина рабочего стола, в диспедчере задач глянул, там два эксплорера , при закрытии одного из них (который юольше кушает ресурсов) рабочий стол вместе со всеми ярлычками и пуском сразу загружается =)
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmsvsxyu.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\TAMOGNYA\LOCALS~1\TEMP\_VWUPSRV.EXE','');
DeleteService('Reset 5');
QuarantineFile('C:\WINDOWS\system32\baseduxlk32.dll','');
QuarantineFile('c:\windows\svchost.exe','');
DeleteFile('c:\windows\svchost.exe');
DeleteFile('C:\WINDOWS\system32\baseduxlk32.dll');
DeleteFile('C:\WINDOWS\system32\srvany.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=32009[/url].
повторные логи.
Это было в карантине:
baseduxlk32.dll - Trojan.Win32.Subsys.gen,
mmbank.exe_ - Trojan-Banker.Win32.Banker.ykw,
winlogon.exe_ - Trojan.Win32.FraudPack.gex
Логи сейчас посмотрю.
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
svchost.exe_ - Trojan.Win32.Small.ydw - свежий
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('TmpUpSrv');
DeleteFile('C:\DOCUME~1\TAMOGNYA\LOCALS~1\TEMP\_VWUPSRV.EXE');
DeleteFile('C:\WINDOWS\system32\mmbank.exe');
BC_DeleteFile('C:\WINDOWS\system32\mmbank.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe[/CODE]
Сделать новые логи.
Пароли от клиент-банка могли уйти на сторону, их надо менять.
повторяю логи
Профикси вот это:
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmsvsxyu.dll
Проблемы какие-то остались?
Проблем ненаблюдается.
Большое спасибо !!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan.Win32.Small.ydw[/B] (DrWEB: Trojan.PWS.Qip.9)[*] c:\\windows\\system32\\baseduxlk32.dll - [B]Trojan.Win32.Subsys.gen[/B] (DrWEB: Trojan.Okuks.53)[*] c:\\windows\\system32\\mmbank.exe - [B]Trojan-Banker.Win32.Banker.ykw[/B] (DrWEB: Trojan.PWS.Banker.23643)[*] c:\\windows\\winlogon.exe - [B]Trojan.Win32.FraudPack.gex[/B] (DrWEB: Trojan.Spambot.3202)[/LIST][/LIST]