Подозрительная запись после проверки:
[QUOTE]Обратите внимание - нестандартный диспетчер задач "E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe"
[/QUOTE]
Printable View
Подозрительная запись после проверки:
[QUOTE]Обратите внимание - нестандартный диспетчер задач "E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe"
[/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\PL15Co2K.exe','');
QuarantineFile('E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe','');
QuarantineFile('E:\WINDOWS\system32\Drivers\bhound7.sys','');
QuarantineFile('1187587320.exe','');
QuarantineFile('1186748417.exe','');
QuarantineFile('1.exe','');
DeleteFile('E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
Готово.
кстати файл [CODE]E:\WINDOWS\system32\Drivers\bhound7.sys[/CODE] проверил здесь: [URL]http://www.virustotal.com/ru/[/URL] - чистый, это драйвер от BusHound
Карантин загрузил...
... как написано в руководстве не получилось, поэтому просто заархивировал папку Quarantine из AVZ.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','ERR_MFP30');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','INS_MFP30');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','RUN_MFP30');
end.[/code]
Проблема решена?
В общем да, спасибо.
так был там руткит?
Были следы трояна. Судя по имени файла, распространяющегося по сети и через флешки. И ещё пара следов неизвестно чего.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]