В общем НОД выбивает группу троянов, убить их никак не получается:( Помогите плз!
Printable View
В общем НОД выбивает группу троянов, убить их никак не получается:( Помогите плз!
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
QuarantineFile('C:\Documents and Settings\user\.exe','');
QuarantineFile('C:\Documents and Settings\user\user.exe','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc28.sys','');
DeleteService('Winuc28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winov63.sys','');
DeleteService('Winov63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winio06.sys','');
DeleteService('Winio06');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winho41.sys','');
DeleteService('Winho41');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm85.sys','');
DeleteService('Winfm85');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek75.sys','');
DeleteService('Winek75');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windk74.sys','');
DeleteService('Windk74');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj41.sys','');
DeleteService('Windj41');
DeleteService('Windj06');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj06.sys','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfm85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winho41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc28.sys');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\rncsys32.exe');
DeleteFile('C:\Documents and Settings\user\user.exe');
DeleteFile('C:\Documents and Settings\user\.exe');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Файл сохранён как090604_225029_virus_4a28177540c60.zipРазмер файла37024MD5c3a034f6e6555e3417e8f065a825187f[B]Файл закачан, спасибо![/B]
Отключите восстановление системы и сделайте все 3 лога.
Вот
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winek75');
DeleteService('amd64si');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek75.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
пожалуйста!
[url]http://virusinfo.info/showthread.php?t=43700[/url] выполните
Вот это можно пофиксить:
[CODE]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/CODE]
Рекомендуется установить SP3 и последующие обновления.
Все выполнил!! Систему вылечил следуя Вашим инструкциям!! Огромное спасибо!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\user.exe - [B]Trojan.Win32.Agent.ckxu[/B][*] c:\documents and settings\user\главное меню\программы\автозагрузка\rncsys32.exe - [B]Trojan.Win32.Pakes.nlx[/B] ( DrWEB: Trojan.Botnetlog.11 )[/LIST][/LIST]