Здравствуйте, помогите, пожалуйста! Qhost опять на компьютере появился, я понял с какого сайта троян попадает - больше туда просто не буду заходить.
Опять есть файл ntfs_ext7.exe. И подозрительный файл loqk.pso
Заранее спасибо.
Printable View
Здравствуйте, помогите, пожалуйста! Qhost опять на компьютере появился, я понял с какого сайта троян попадает - больше туда просто не буду заходить.
Опять есть файл ntfs_ext7.exe. И подозрительный файл loqk.pso
Заранее спасибо.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('catchme');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\system32\loqk.pso','');
DeleteFile('C:\WINDOWS\system32\loqk.pso');
DeleteFile('C:\DOCUME~1\Fedadm\LOCALS~1\Temp\catchme.sys');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пофиксить в HijackThis(некоторых строчек может и не быть)
[code]
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe loqk.pso dqqgra
[/code]
ПК перезагрузите.
Сделайте новые логи.
Скрипт выполнил.
Карантин отправил.
Пофиксить в HijackThis - такой строки не было.
Вот новые логи.
Ничего плохого не увидел
Сообщений об попытке изменения файла host больше небыло).
Подскажите еще где можно посмотреть информацию про написание скриптов под avz?
Файл loqk.pso в ручную не как не удалялся. Очень бы хотелось самому научиться с помощью скриптов удалять подозрительные файлы.
[QUOTE=new;506929]Очень бы хотелось самому научиться с помощью скриптов удалять подозрительные файлы.[/QUOTE]Подозрительные файлы удалять НИКОГДА не надо, их надо анализировать.
Насчёт научиться: [url]http://virusinfo.info/profile.php?do=editusergroups[/url] и подайте заявку в Студенты.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\loqk.pso - [B]Backdoor.Win32.Bredavi.asm[/B] ( DrWEB: Trojan.DownLoad1.11049, AVAST4: Win32:Oficla-D [Trj] )[*] \\?\globalroot\systemroot\system32\ntfs_ext7.exe - [B]Packed.Win32.Katusha.i[/B] ( DrWEB: Trojan.Inject.6510, BitDefender: Trojan.Generic.2662479 )[/LIST][/LIST]