Printable View
Здравствуйте,
при сканировании вебом было убито штук 10 троянов.
после лог AVZ выдает перехватчик не определен
и опасно-исполняемый файл в потоке ntfs... помимо в IE на страницу ложится типа скрипта предлагающего отправить смс на номер для того чтоб убрать этот скрипт(((((( :blink:
и еще одно.. нашел подобное в архиве... фаервола нету... нод32 отключен
на сайт virusinfo не дает зайти.. сбрасывает на поиск
Обновите базы AVZ!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\sorry.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteService('ati6joxx');
DeleteService('ati5ejxx');
DeleteService('ati3yexx');
DeleteService('ati1inxx');
DeleteService('ati1flxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1flxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1inxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3yexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ejxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6joxx.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\sorry.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
карантин:
Файл сохранён как 090120_150617_virus_4975be398e77b.zip
Размер файла 254273
MD5 e85de90c535323740daf3253124fb830
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 диагностики...
убил службы удаленного доступа к рабочему столу((
В логах чисто, если что- поломалось:
1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
3. В командной строке введите sfc /scannow и нажмите "ENTER".
Windows будет проверять целостность системных файлов,возможно понадобится диск с дистрибутивом.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\mvvlib.dll - [B]Trojan-Ransom.Win32.Hexzone.afg[/B][*] c:\\windows\\system32\\digeste.dll - [B]Trojan.Win32.Pakes.msy[/B][*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Agent2.aax[/B][/LIST][/LIST]