случайно (как бывает) заметил появившиеся в корне autorun.inf и файл оч похожий на карзину но со странным названием из букв и цифр - эти "дела" удалил. но команды выполнить и рэгедит теперь - не запускаютя.(
Printable View
случайно (как бывает) заметил появившиеся в корне autorun.inf и файл оч похожий на карзину но со странным названием из букв и цифр - эти "дела" удалил. но команды выполнить и рэгедит теперь - не запускаютя.(
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{4175C5F3-D47F-143B-DD4D-E67A0EB4E773}');
QuarantineFile('c:\SP\READ\DRG.exe','');
QuarantineFile('C:\Documents and Settings\litvinova.OKTAN\Application Data\S03-7323-GEYNAWT-2623-TGAW\winlogon.exe','');
DeleteFile('C:\Documents and Settings\litvinova.OKTAN\Application Data\S03-7323-GEYNAWT-2623-TGAW\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Login Assistant');
RegKeyParamDel('HKEY_USERS','S-1-5-21-169912723-1468501951-1257050800-1122\Software\Microsoft\Windows\CurrentVersion\Run','Windows Login Assistant');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
при выполнении скрипта - ошибка ';' expected в позиции 8:13
согласно правил 3 в карантине AVZ - ничё нет.(
+файл winlogon.exe был удалён AVPTool'сом (согласно правилам по созданию темы-после загрузки инструментов - пункт 2)
+каталог c:\SP был мною удалён вместе с autorun.inf и файлом оч похожим на карзину но со странным названием из букв и цифр.
пс: последие 2 файла это - то что удалось найти.
MD5 9186dc2b0cb1e2a214caf16863a82ef6
жду следующих указаний к действиям))
Скрипт поправил. Выполните, несмотря на то, что поудаляли сами. Карантина, понятное дело, не будет
После этого новые логи сделайте
.
В логах ничего плохого. Что с проблемой?
[B]thyrex[/B], пасиба! усё нормализовалос:ь
Ост. только разобраться в присланном вами скрипте))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \vkoren\infect\pq98a5ldfr12gb8ndx7fzst1r\pq98a5ldfr12gb8ndx7fzst1r.exe - [B]Trojan.Win32.Antavmu.dzn[/B] ( DrWEB: Win32.HLLW.Autoruner.7503 )[/LIST][/LIST]