При сканировании обнаружен перехват функций файловой системы. Плюс прямое чтение из папки Temp.
Printable View
При сканировании обнаружен перехват функций файловой системы. Плюс прямое чтение из папки Temp.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('C:\Documents and Settings\E_Vatletsova\Local Settings\Temp\tqaa.dll','');
QuarantineFile('C:\Documents and Settings\E_Vatletsova\Local Settings\Temp\wuhyqp.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Remote Administrator -сами ставили?
RAdmin был до, но мне казалось я его удачно деинсталировал. MSTsc пошустрее и бесплатен.
G:\autorun.inf - знаком?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\rserver30\r3god.dll');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
G:\autorun.inf наш, родимый.:)
Деинсталировал DTools, но почему то служба spdt продолжает работу. Вирт приводов нет. Прогнал avz, теперь определил перехватчика - spgi.sys. Перед удалением поместил оба (и spdt.sys) файла в карантин - если нужны пришлю.
--
Срипт выполнил, файл прикрепил. spcl.sys теперь в кач руткита. Он что, динамически изменяет имя?
[QUOTE=polword;673219]- Сделайте повторный лог virusinfo_syscheck.zip;[/QUOTE]
повторите плиз
Чуть выше уже выложил.
--
О,чудо! Как только остановил службу spdt всё - прехваты закончились. Странно что после деинсталяции DT служба продолжала работу. Благодаря AVZ удалось определить её состояние и остановить. Через msconfig данная служба была не видна вообще, как ни страннно.
[B]polword[/B], cпасибо за удаление двух подозрительных объектов в профиле пользователя и чистку реестра. Параметр AppInit взял на заметку. ;)
если ничего больше не беспокоит, значит все.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]