Что-то поймал!

Printable View

16.02.2009, 20:10
Dim529

Вложений: 3

Что-то поймал!

Посмотрите, пожалуйста, логи! По-моему, что-то подхватил.>:(
16.02.2009, 20:20
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\msvdx86.aqmgu','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_Importall;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=39830"]http://virusinfo.info/upload_virus.php?tid=39830[/URL]
Повторите логи по правилам.
16.02.2009, 22:57
Dim529

Вложений: 3

Что-то поймал!

Карантин выслал. Повторяю логи. Комьютер отказывается перегружаться через "Пуск", только резет.:(
17.02.2009, 11:33
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\msvdx86.aqmgu');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\msvdx86.sys');
BC_QrSvc('msvdx86');
BC_DeleteSvc('msvdx86');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\msvdx86.aqmgu');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\msvdx86.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
17.02.2009, 18:43
Dim529

Вложений: 1

После выполнения скрипта карантин пустой. Лог прилагаю.
Все симптомы исчезли!
17.02.2009, 23:23
rubin

hosts файл сами патчили?

[CODE]127.0.0.1 https://89.149.254.14/*

127.0.0.1 https://85.17.212.185/*

127.0.0.1 http://installs.in/*

127.0.0.1 https://85.17.201.65/*

127.0.0.1 https://85.17.212.185/*

127.0.0.1 https://195.24.77.223/*[/CODE]
18.02.2009, 23:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.aabt[/B][*] c:\windows\system32\twext.exe - [B]Trojan-Spy.Win32.Zbot.ncp[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]