Сотрудница подцепила ПО File Downloader, воспользовавшись выложенной тут программкой (вроде get2.exe) удалил эту штуку, но теперь процесс svchost.exe грузит систему.
Printable View
Сотрудница подцепила ПО File Downloader, воспользовавшись выложенной тут программкой (вроде get2.exe) удалил эту штуку, но теперь процесс svchost.exe грузит систему.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Admin.NIKTO\Главное меню\Программы\Автозагрузка\synctime.cmd','');
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
DeleteFile('globalroot\systemroot\system32\userinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
synctime.cmd убрал из скрипта, там одна команда синхронизации времени с нашим сервером.
карантин почему-то пуст, присылать нечего.
сделал заного логи
забыл изначально указать, что виндовс перестал видеть дисковод 3.5". Открываю мой компьютер, там только сидиром и локальный диск и сетевые диски
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fdc.sys','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
карантин отправил
fdc.sys - новый зловред [B]Rootkit.Win32.Agent.aaca[/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Fdc', 4);
DeleteService('Fdc');
DeleteFile('C:\WINDOWS\system32\DRIVERS\fdc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
скрипт сделал, выкладываю логи.
диск А 3.5 в "моем компьютере" как вернуть, не скажите?
[QUOTE='Do3e;538137']диск А 3.5 в "моем компьютере" как вернуть, не скажите?[/QUOTE]В BIOS если посмотреть, дисковод среди оборудования указан?
Да.
Там, где HDD и CD-ROM детектятся, где время ставить, там внизу есть так:
Drive A: Floppy 3.5"
Drive B: NONE
Это имеется ввиду?
[QUOTE='Do3e;538495']Это имеется ввиду?[/QUOTE]Да, это.
Попробуйте заменить файл fdc.sys на чистый с дистрибутива
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\fdc.sys - [B]Rootkit.Win32.Agent.aaca[/B][/LIST][/LIST]