После посещения сайта (не нового) началась не контролируемая рассылка почты- видно сканеру Симантека- причем до зависания компьютера. Помогает только отключение модема. Помогите, пожалуйста
Printable View
После посещения сайта (не нового) началась не контролируемая рассылка почты- видно сканеру Симантека- причем до зависания компьютера. Помогает только отключение модема. Помогите, пожалуйста
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\ALPHAG~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Все сделал как написали, карантин выслал.
[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]
Файл сохранён как 091206_193919_virus_4b1bde37c9d4e.zip
Размер файла 1330726
MD5 8fe2e47606371bb06e23ad0f47aea8ef
Сделайте новые логи.
Новые логи, я за них не забыл- нужно было время их сделать.
Файл [B]C:\WINDOWS\System32\Drivers\Beep.SYS[/B] заменить на чистый.
Извините за не грамотность- как заменить на чистый?
С диска с дистрибутивом Windows [url]http://virusinfo.info/showthread.php?t=51654[/url]
[QUOTE=snifer67;527346]Файл [B]C:\WINDOWS\System32\Drivers\Beep.SYS[/B] заменить на чистый.[/QUOTE]
Ситуация такая: на дистрибутиве лежит запакованный beep.sy_
Копировать его в папку проблем нет, но соответственно он архивом и копируется с расширением sy_. Пробовал распаковать expand H:\i386\Beep.sy_ c:\WINDOWS\system32\drivers\beep.sys
пишет невозможно распаковать файл, пробовал в разные папки- не получается.
Но старый файл [B]C:\WINDOWS\System32\Drivers\Beep.SYS[/B] могу спокойно удалить и после перезагрузки компа он опять появляется.
Что мне еще надо сделать?
Попробуйте распаковать обычным архиватором
[QUOTE='zislaw;527526']могу спокойно удалить и после перезагрузки компа он опять появляется[/QUOTE]Наверное, восстанавливается из копии в [B]system32\dllcache[/B]
Да нет у меня этих папок с dllcache и ServisePackFiles\i386- тоже смотрел.
Сделал повторно еще логи посмотрите все ли чисто, пожалуйста
В логах файл не светится, что уже хорошо. Что с проблемой?
Проработал до 4 утра- все нормально. Спасибо огромное. Смотрел свои логи- там светится еще один файл, кроме beep= C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, его определяет как перехватчик. Хотя дата изменения его старая (июнь 2009). Это тоже недолеченный вирус?
Это ваш Symantec AntiVirus.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.ekp[/B][*] c:\windows\system32\drivers\beep.sys - [B]Trojan-Proxy.Win32.Puma.bpn[/B] ( DrWEB: Trojan.NtRootKit.4877 )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.ekp[/B][/LIST][/LIST]