В общем, со своим разобрался, и решил дочкин комп проверить, чтобы дома вири больше не плодились :)
Printable View
В общем, со своим разобрался, и решил дочкин комп проверить, чтобы дома вири больше не плодились :)
[b]Восстановление системы отключить.[/b]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Erika\Local Settings\Temp\gir80j1d.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\t04x.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\g.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\6.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\6.sys');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\g.sys');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\t04x.sys');
DeleteFile('C:\System Volume Information\_restore{9CDD94CD-34EA-4528-9FF9-7131489F684F}\RP212\A0025516.exe');
DeleteFile('C:\System Volume Information\_restore{9CDD94CD-34EA-4528-9FF9-7131489F684F}\RP212\A0025518.exe');
DeleteFile('C:\System Volume Information\_restore{9CDD94CD-34EA-4528-9FF9-7131489F684F}\RP212\A0025519.exe');
DeleteFile('C:\Documents and Settings\Erika\Local Settings\Temp\gir80j1d.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
[QUOTE=snifer67;546987]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.[/QUOTE]
Прислал карантин через форму. Логи прицепляю.
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\System Volume Information\_restore{9CDD94CD-34EA-4528-9FF9-7131489F684F}\RP240\A0030790.sys');
DeleteFile('C:\System Volume Information\_restore{9CDD94CD-34EA-4528-9FF9-7131489F684F}\RP240\A0030791.sys');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
[QUOTE=thyrex;547092]Выполните скрипт в AVZ
Сделайте новый лог virusinfo_syscheck.zip[/QUOTE]
Сделал. Лог в прицепе.
ЗЫ Прошу прощения за задержку. Работа не дала сделать это раньше...
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
[QUOTE=thyrex;548020]Плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8[/QUOTE]
Понял, спасибо большое :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\erika\local settings\temp\gir80j1d.sys - [B]Worm.Win32.AutoRun.cxk[/B] ( DrWEB: Trojan.NtRootKit.880, BitDefender: Rootkit.OnlineGames.DY, NOD32: Win32/Rootkit.Vanti.NBF trojan, AVAST4: Win32:Vanti-BV [Rtk] )[*] c:\documents and settings\администратор\local settings\temp\g.sys - [B]Worm.Win32.AutoRun.cxk[/B] ( DrWEB: Trojan.NtRootKit.880, BitDefender: Rootkit.OnlineGames.DY, NOD32: Win32/Rootkit.Vanti.NBF trojan, AVAST4: Win32:Vanti-BV [Rtk] )[*] c:\documents and settings\администратор\local settings\temp\t04x.sys - [B]Worm.Win32.AutoRun.cxk[/B] ( DrWEB: Trojan.NtRootKit.880, BitDefender: Rootkit.OnlineGames.DY, NOD32: Win32/Rootkit.Vanti.NBF trojan, AVAST4: Win32:Vanti-BV [Rtk] )[*] c:\documents and settings\администратор\local settings\temp\6.sys - [B]Worm.Win32.AutoRun.cxk[/B] ( DrWEB: Trojan.NtRootKit.880, BitDefender: Rootkit.OnlineGames.DY, NOD32: Win32/Rootkit.Vanti.NBF trojan, AVAST4: Win32:Vanti-BV [Rtk] )[*] c:\system volume information\_restore{9cdd94cd-34ea-4528-9ff9-7131489f684f}\rp212\a0025516.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{9cdd94cd-34ea-4528-9ff9-7131489f684f}\rp212\a0025518.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{9cdd94cd-34ea-4528-9ff9-7131489f684f}\rp212\a0025519.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[*] d:\windows\system32\nvidia32.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[*] d:\windows\system32\windfire.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[*] k:\recycled\~wr00001.doc - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI, NOD32: Win32/Spy.Agent.NDB trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]