Попросили посмотреть комп на предмет вирусняка, проверил куреитом - было много троянов и 1 файловый засел во всех экзешниках. Трояны удалил, файловый вылечился.
Посмотрите может что пропустил.
Printable View
Попросили посмотреть комп на предмет вирусняка, проверил куреитом - было много троянов и 1 файловый засел во всех экзешниках. Трояны удалил, файловый вылечился.
Посмотрите может что пропустил.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\A440D699.dat','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODe]
Если достанется, то прислать на проверку.
Карантин выслал, могу еще вчерашний выслать - туда я вчера добавил 2 подозрительных файлика.
Да еще пришлось временно отламывать винду, так как после лечения она стала просить активацию, активация не проходит - говорит ключ неверный, сменить на корпоративный не дает :(
Угадал я, скорее всего это Trojan.Win32.Agent.bhio . Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\A440D699.dat');
BC_DeleteFile('C:\WINDOWS\system32\A440D699.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Новые логи.
Да в карантин попал подозрительный файл - его прислать на проверку?
Пришли.
Вот закачал - Файл сохранён как090213_123902_virusinfo_cure_49953fb64d94b.zip
Замечательный образец попался: по ВТ его не знают ни Доктор, ни Касперский.
Думается, следует его удалить.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Fonts\CtmRes.dll');
BC_DeleteFile('C:\WINDOWS\Fonts\CtmRes.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
А что это было и какие действия производило?
Очень похоже на ворователь паролей от онлайн-игрушек. Часто поселяется с флешек.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\fonts\ctmres.dll - [B]Trojan-PSW.Win32.Agent.mcc[/B][*] c:\windows\system32\a440d699.dat - [B]Trojan.Win32.Agent.bhio[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]