Встречаются в
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\Winqx28.sys
C:\WINDOWS\System32\WinCtrl32.dll
Printable View
Встречаются в
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\Winqx28.sys
C:\WINDOWS\System32\WinCtrl32.dll
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winmbj32.dll','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteService('Winqx28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqx28.sys','');
DeleteService('runtime2');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('dwshd.sys','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('c:\docume~1\pry\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\documents and settings\pry\pry.exe','');
DeleteFile('c:\docume~1\pry\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('dwshd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx28.sys');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\DOCUME~1\PRY\LOCALS~1\Temp\winlogon.exe');
DeleteFile('winmbj32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ...
Карантин прислал
NOD 32 нашел еще
AMON файл C:\WINDOWS\system32\drivers\amd64si.sys вероятно неизвестный NewHeur_PE вирус изолирован - удален AAXD\PRY
Событие в новом файле, созданном приложением C:\DOCUME~1\PRY\LOCALS~1\Temp\BN1F.tmp. Файл был перемещен в карантин. Вы можете закрыть это окно.
Повторите логи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\pry\\pry.exe - [B]Trojan-Downloader.Win32.Agent.atnc[/B] (DrWEB: Trojan.DownLoad.23598)[*] c:\\docume~1\\pry\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Inject.kzr[/B] (DrWEB: Trojan.Inject.5301)[*] c:\\program files\\common files\\wise installation wizard\\wisd11a46bc0e09492db02b0d8de5ef5c59_1_0_0.msi - [B]Trojan-Spy.Win32.Delf.cem[/B] (DrWEB: archive: archive: Trojan.PWS.Banker.24312)[*] c:\\windows\\msauc.exe - [B]Trojan.Win32.Inject.lbf[/B] (DrWEB: Trojan.PWS.ICQSniff.25)[/LIST][/LIST]