Printable View
При проверке Dr.Web появляется отчет C:\sistem Volume information\_rest...Trojan.PWS.Slaped пишет удалено.проверяю все чисто.но при перезагрузке компа все повторяется.? после отключения вост.системы и проверке AVZ, нашелся другой вирус (не записал его) и был удален. После перезагрузке вирус Trojan.PWS.Slaped не обнаруживался. Проверяю антивирусником все чисто, но при входе в интерент чтото-качается.
Помогите пожалуйста.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mysvcc.exe','');
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('C:\Documents and Settings\User\2.exe','');
QuarantineFile('c:\windows\system32\srvc.exe','');
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как написано в прил.2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] ссылка на вашу тему - [url]http://virusinfo.info/showthread.php?t=7862[/url]
Высылаю файл
Выполните скрипт и вышлите содержимое карантина
[CODE]var
i : integer;
begin
SetAVZGuardStatus(True);
ClearQuarantine;
RefreshProcessList;
for i := 0 to GetProcessCount - 1 do begin
AddToLog(IntToStr(GetProcessPID(i)) + ' '+ GetProcessName(i));
if pos('srvc.exe', LowerCase(GetProcessName(i))) > 0 then
TerminateProcess(GetProcessPID(i));
end;
QuarantineFile('c:\windows\system32\srvc.exe','');
DeleteFile('c:\windows\system32\mysvcc.exe');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc');
end.[/CODE]
Проверил на вирусы может быть поторопился, но нашел:
[FONT=Arial][SIZE=2][LEFT]srvc.exe;c:\windows\system32;BackDoor.Mailbot;Удален.;[/SIZE][/FONT][/LEFT]
[FONT=Arial][SIZE=2][LEFT]rpcc.dll;C:\WINDOWS\system32;Win32.HLLM.Bid;Удален.;[/SIZE][/FONT][/LEFT]
[FONT=Arial][SIZE=2][LEFT]3.exe;C:\Documents and Settings\User;BackDoor.Mailbot;Удален.;[/SIZE][/FONT][/LEFT]
[FONT=Arial][SIZE=2][LEFT]3[1].exe;C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\SLY3S9UR;BackDoor.Mailbot;Удален.;[/SIZE][/FONT][/LEFT]
[FONT=Arial][SIZE=2][LEFT]avz00001.dta;C:\avz4\Quarantine\2007-02-09;BackDoor.Mailbot;Удален.;[/SIZE][/FONT][/LEFT]
Скрипт от Geser-а выполнили? Если да, сделайте новые логи.
Скрипты сделал
Вроде как померло. Пофиксите:
[code]O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [slack12] C:\Documents and Settings\User\2.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [slack12] C:\Documents and Settings\User\2.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)[/code]
Больше "комп" вроде не скачивает профиксил по инструкции, что высылать не понял, если нужно?
ОГРОМОЕ СПАСИБО ВСЕМ ЗА ПОМОЩЬ
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mysvcc.exe - [B]Backdoor.Win32.SdBot.awk[/B] (DrWEB: BackDoor.IRC.Sdbot.3045)[*] c:\\windows\\system32\\srvc.exe - [B]Backdoor.Win32.SdBot.beb[/B] (DrWEB: BackDoor.Mailbot)[/LIST][/LIST]