На Пк собственно антивируса,не было никогда .Немного подчистил ..
Printable View
На Пк собственно антивируса,не было никогда .Немного подчистил ..
Искать и присылать на проверку:
[QUOTE]Прямое чтение C:\Documents and Settings\irina\asdsdfd.exe
Прямое чтение C:\Documents and Settings\irina\asdsdsd.exe
Прямое чтение C:\Documents and Settings\irina\Explor.exe
Прямое чтение C:\Documents and Settings\irina\Explorer.exe[/QUOTE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\irina\Local Settings\Temp\159.exe','');
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe','');
DeleteFile('C:\WINDOWS\system32\RGWIE.dll');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('C:\Documents and Settings\irina\Local Settings\Temp\159.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин + сделать новые логи.
Узнал пароль от учетки , а там :отключен regedit и task manager,на флешку сразу упал зверь с автораном ,вроде sbictrl.exe .В C:\Documents and Settings\irina\ - 8 экзешников ,новых , все добавил в карантин по списку ,в автозагрузке winlogon и sbictrl из папки Recycler и drivers т.д .
Файл сохранён как 090119_164941_virus_497484f56bdce.zip
Много в карантине вот этого:
Trojan-Spy.Win32.Delf.ffm
На диске "F" тоже звери.
sd3s2xd.ssd - чистый.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5303933479-0899803357-680519562-7332\winlogon.exe','');
DeleteFile('c:\windows\system32\drivers\sbictr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5303933479-0899803357-680519562-7332\winlogon.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('C:\Documents and Settings\irina\Local Settings\Temp\460.exe');
DeleteFile('C:\Documents and Settings\irina\Local Settings\Temp\564.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SbiCtr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Из "Менеджер ActiveSetup" удалить строчку с C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe
Профиксить:
[CODE]O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-5303933479-0899803357-680519562-7332\winlogon.exe[/CODE]
Сделать новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
А вообще-то по хорошему надо полную проверку AVPTool сделать. Просто таким "ручным" методом будем долго возиться.
Вот что получилось...
ЗЫ:ПК подтормаживает не хило , а так проблем не вижу.
В логах чисто...
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\irina\\asdsdfd.exe - [B]Trojan.Win32.Inject.nwk[/B][*] c:\\documents and settings\\irina\\asdsdsd.exe - [B]Trojan-Spy.Win32.Delf.ffm[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\explorer.exe - [B]Trojan-Spy.Win32.Delf.ffm[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\explor.exe - [B]P2P-Worm.Win32.Agent.ol[/B][*] c:\\documents and settings\\irina\\local settings\\temporary internet files\\content.ie5\\tjpcetfl\\c1234[1].exe - [B]Trojan.Win32.Qhost.kzn[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\local settings\\temp\\159.exe - [B]Trojan.Win32.Qhost.kzn[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\local settings\\temp\\460.exe - [B]Trojan.Win32.Qhost.kzn[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\local settings\\temp\\564.exe - [B]Trojan.Win32.Qhost.kzn[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\sdsdsd.exe - [B]Trojan-Spy.Win32.Delf.ffm[/B] (DrWEB: Dialer.Siggen.121)[*] c:\\documents and settings\\irina\\taskmger.exe - [B]Trojan.Win32.Buzus.aifm[/B] (DrWEB: Trojan.PWS.LDPinch.1911)[*] c:\\documents and settings\\irina\\xsdsd.exe - [B]Backdoor.Win32.Poison.qby[/B][*] f:\\recycler\\s-1-6-21-2434476501-1644491937-600003330-1213\\sbictr.exe - [B]Backdoor.Win32.SdBot.jqo[/B][/LIST][/LIST]