Подцепилась какая-то гадость, symantec выдает подряд кучу сообщений с интервалом в секунд пять о блокировании почтового отправления. хотя никакого почтового сервака нет. Спасите!!!
Printable View
Подцепилась какая-то гадость, symantec выдает подряд кучу сообщений с интервалом в секунд пять о блокировании почтового отправления. хотя никакого почтового сервака нет. Спасите!!!
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FCI');
BC_DeleteSvc('FCI');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\userini.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
[B]Обновите базы АВЗ!!![/B]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделано!
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FCI');
BC_DeleteSvc('FCI');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать лог Hijack
Сделано!
Удалите в Hijack
[CODE]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/CODE]
Как удалять см. здесь [URL="http://virusinfo.info/showpost.php?p=80604&postcount=2"]http://virusinfo.info/showpost.php?p=80604&postcount=2[/URL]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FCI');
BC_DeleteSvc('FCI');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте лог Hijack
[QUOTE=shapel;577666]Удалите в Hijack
[CODE]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/CODE]Как удалять см. здесь [URL]http://virusinfo.info/showpost.php?p=80604&postcount=2[/URL]
[/QUOTE]
не удаляется - пишет, что мол служба активна - не могу удалить.
скрипт выполнять все равно ?
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('FCI');
SetServiceStart('FCI', 4);
DeleteService('FCI');
BC_DeleteSvc('FCI');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте лог Hijack
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\explorer.exe:userini.exe:$data - [B]Trojan-Spy.Win32.Krap.ai[/B] ( DrWEB: Trojan.Spambot.7492, BitDefender: Trojan.Fakealert.6644, AVAST4: Win32:FakeAlert-GR [Trj] )[*] c:\windows\system32\svchost.exe:ext.exe:$data - [B]Trojan-Spy.Win32.Krap.ai[/B] ( DrWEB: Trojan.Spambot.7836, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Krap-YY [Trj] )[*] c:\windows\system32\userini.exe - [B]Trojan-Spy.Win32.Krap.ai[/B] ( DrWEB: Trojan.Spambot.7492, BitDefender: Trojan.Fakealert.6644, AVAST4: Win32:FakeAlert-GR [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]