На компьютере установлен нод, стоит система клиент-банк. На дискетах стал появляться файл system.exe и авторун. Нод ругался на авторун. Проверу вемоб удалось сделать только в безопасном режиме, в обычном при удалении вируса компьютер перезагружался.
Printable View
На компьютере установлен нод, стоит система клиент-банк. На дискетах стал появляться файл system.exe и авторун. Нод ругался на авторун. Проверу вемоб удалось сделать только в безопасном режиме, в обычном при удалении вируса компьютер перезагружался.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');
DelBHO('{26528DB7-3F17-47C3-B742-8250C7DA5D55}');
QuarantineFile('C:\WINDOWS\system32\qyklib.dll','');
DeleteFile('C:\WINDOWS\system32\qyklib.dll');
DeleteFile('C:\WINDOWS\system32\mmbank.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Есть еще карантин с первого сканирования, его нужно прислать?
Нет, не надо...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\win32_n.dll','');
DeleteFile('C:\WINDOWS\win32_n.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин выслал.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\systemroot\system32\drivers\TDSSmhct.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте полную проверку AVPTool и повторите логи...
Нашлось еще несколько вирусов.
В логах чисто...
А вот по трояну банкеру, нужно ли связываться с банком, есть вероятность утечки какой либо информации?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft common\\svchost.exe - [B]Trojan-Downloader.Win32.Agent.asfj[/B] (DrWEB: Trojan.NtRootKit.1722)[*] c:\\windows\\system32\\mmbank.exe - [B]Trojan-Banker.Win32.Banker.xks[/B] (DrWEB: Trojan.PWS.Banker.26515)[*] c:\\windows\\win32_n.dll - [B]Trojan-Downloader.Win32.Agent.asjq[/B] (DrWEB: Trojan.Juan.59)[/LIST][/LIST]