Принесли ноут с вирусами. Прикладываю логи. Отвечу только в понедельник...
Printable View
Принесли ноут с вирусами. Прикладываю логи. Отвечу только в понедельник...
[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\winxp\system32\dllcache\iexplore.exe');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('C:\WINXP\system32\sdra64.exe','');
QuarantineFile('C:\WINXP\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINXP\system32\JVMOD32.DLL','');
QuarantineFile('c:\winxp\system32\dllcache\iexplore.exe','');
DeleteFile('c:\winxp\system32\dllcache\iexplore.exe');
DeleteFile('C:\WINXP\system32\sdra64.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe,
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing)[/CODE]
Подготовьте новые логи.
Благадарю с скорость, но у ноута батареи сели и результаты буду только в понедельник...
Запрошенные файлы высланы. Там 2 карантина, один не полный, второй полный.
091019_075711_virus_4adbe39721566.zip - это второй.
Хорошо, ждем новые логи.
Новые логи
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXP\system32\JVMOD32.DLL');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
Логи
[QUOTE]Восстановление системы: включено[/QUOTE]
[B]Отключите![/B]
А то повылазят оттуда все ваши трояны, как черт из табакерки ;)
В логах больше ничего плохого.
[size="1"][color="#666686"][B][I]Добавлено через 24 секунды[/I][/B][/color][/size]
З.Ы. Потом восстановление можно включить обратно.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\rasadhlp.dll - [B]Trojan.Win32.Pakes.nqs[/B] ( DrWEB: Trojan.PWS.FtpSpy.12, NOD32: Win32/Delf.NNT trojan, AVAST4: Win32:Malware-gen )[*] c:\winxp\system32\dllcache\iexplore.exe - [B]Backdoor.Win32.IRCBot.etd[/B] ( DrWEB: Win32.HLLW.Autoruner.2290, BitDefender: Backdoor.IRCBot.ACHP, NOD32: Win32/VB.NOA trojan, AVAST4: Win32:Malware-gen )[*] c:\winxp\system32\jvmod32.dll - [B]Trojan-Banker.Win32.Banker.aodl[/B] ( DrWEB: Trojan.PWS.Banker.31197, BitDefender: Trojan.Generic.2528856, NOD32: Win32/Spy.Delf.NYQ trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\winxp\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.abdj[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Backdoor.Bot.107259, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:MalOb-U [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]