Printable View
Есть сеть из нескольких компов, принесли новый, с последними обновлениями, установленным drweb. После подключения к сети стал тормозить. AVZ показал множество левых файлов в автозагрузке. Куреит при сканировании виснет намертво. Помогите вылечить.
В логах сканирование одного из компов в сети(не нового).
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Performance\csrss.exe','');
QuarantineFile('D:\WINDOWS\system32\55555555555.exe','');
QuarantineFile('C:\WINDOWS\system32\55555555555.exe','');
QuarantineFile('D:\WINDOWS\system32\01.tmp','');
QuarantineFile('D:\WINDOWS\system32\drivers\lul.sysH','');
QuarantineFile('D:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('c:\windows\mfc42.exe','');
QuarantineFile('c:\windows\system32\KERNEL32.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\lul.sys','');
QuarantineFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\MACROM~1\SwUpdate\swupdate.dll','');
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
DeleteFile('C:\WINDOWS\system32\migpwd.exe');
DeleteFile('c:\windows\system32\KERNEL32.exe');
DeleteFile('c:\windows\mfc42.exe');
DeleteFile('D:\WINDOWS\system32\WinHelp32.exe');
DeleteFile('D:\WINDOWS\system32\drivers\lul.sysH');
DeleteFile('D:\WINDOWS\system32\Drivers\lul.sys');
DeleteFile('D:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\55555555555.exe');
DeleteFile('D:\WINDOWS\system32\55555555555.exe');
DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01QRGTIJ\scanner[1].exe');
DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01QRGTIJ\scanner[2].exe');
DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S9MVSHUJ\1[1].exe');
DeleteFile('D:\WINDOWS\system32\Performance\csrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=56178[/url]).
Сделайте новые логи.
карантин закачан
-----------------------------
скажите, легче все переустановить или все же вылечить?
[QUOTE='Bratez;478367']Сделайте новые логи. [/QUOTE]
А где логи-то?
логи все еще делаются ((
вот логи
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\RunOnce: [EGiW] %systemroot%\system32\rundll32.exe %systemroot%\system32\UTlJxKf.dll,DllRegisterServer
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\WINDOWS\system32\Drivers\lul.sys','');
QuarantineFile('D:\WINDOWS\system32\UTlJxKf.dll','');
DeleteFile('D:\WINDOWS\system32\UTlJxKf.dll');
DeleteFile('D:\WINDOWS\system32\Drivers\lul.sys');
DeleteFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\MACROM~1\SwUpdate\swupdate.dll');
DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP377\A0060819.exe');
DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP380\A0060852.exe');
DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP381\A0061847.exe');
DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP386\A0061876.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('mfia');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Дополнительно сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
извиняюсь. компьютер скоропостижно умер (( переустановили систему.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]