На компе все признаки вирусной активности - Каспер перехватывает то попытки подправить hosts, то внедрение svchost.exe в lsass.exe
При попытке выполнить 3-й скрипт - перезагрузка (делал в safemode).
Гляньте логи plz
Printable View
На компе все признаки вирусной активности - Каспер перехватывает то попытки подправить hosts, то внедрение svchost.exe в lsass.exe
При попытке выполнить 3-й скрипт - перезагрузка (делал в safemode).
Гляньте логи plz
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[code]begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xej22', 'Start');
RebootWindows(true);
end.[/code]
Затем
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Xej22.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Xej22.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportAll;
BC_DeleteSvc('Xej22');
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=39265[/url]
Вот карантин и логи. Кстати смог сделать только после того, как выполнил первый скрипт в safemode - до этого судя по всему перезагрузка шла раньше конца скрипита.
выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
virusinfo_syscheck повторите...
Теперь, к сожалению, уже только завтра.
Мы подождем :)
Спасибо
Вот результаты последней операции
В логе чисто, установите SP3+all updates...
Спасибо! Пойду обновлятся.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\xej22.sys - [B]Trojan.Win32.DNSChanger.gnp[/B][*] c:\windows\system32\twext.exe - [B]Trojan-Spy.Win32.Zbot.mjj[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]