Printable View
У меня аваст обнаружил вирус в папке C:\WINDOWS\System32\drivers. Аваст его удаляет, и после этого начинается рассылка писем. при перезагрузке у программе COMODO Firewall Pro пытается запуститься процесс (winlogon.exe и windows\System32\acluiy.exe), раньше этого небыло. после подключения к нету происходит рассылка писем. Что делать? Проверял и avz4 и AVPTool (25.11.2008) ничего не находит).
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4dixx.sys','');
QuarantineFile('C:\WINDOWS\system32\acluiy.exe','');
DeleteFile('C:\WINDOWS\system32\acluiy.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4dixx.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati4dixx');
BC_DeleteSvc('SamSsNMIndexingService');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=34543[/url]).
Сделайте новые логи (желательно не avptool, а AVZ и HijackThis).
Скрипт выполнил, карантин загрузил
вот новые логи
после первого скрипта рассылка не прекратилась, аваст нашол новые вирусы после перезагрузки и подключения к инету
Документы\fhycev.exe
С:\WINDOWS\system32\qkghuup.dll
С помощью Ice Sword, как написано здесь: [url]http://virusinfo.info/showthread.php?t=17228[/url], удалите файл [B]C:\WINDOWS\system32\Drivers\ati4dixx.sys[/B].
Не перезагружаясь, сразу после этого выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\ati4dixx.sys');
BC_ImportDeletedList;
BC_DeleteSvc('ati4dixx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
[QUOTE]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Что ж не обновили? Обновите!
И новые логи - в студию.
Про HijackThis тоже не забывайте.
Вот новый лог. рассылка вроде прекратилась
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('qkghuup.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
В логах чисто...
Спасибо. Вроде все нормально.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\acluiy.exe - [B]Backdoor.Win32.Agent.uqr[/B] (DrWEB: BackDoor.IRC.Nite.18)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan.Win32.Agent.aqwu[/B] (DrWEB: Trojan.PWS.Panda.9)[/LIST][/LIST]