Добрый день.
Появился в процессах (csrss_tc.exe), убить не получается, полная проверка антивирусами ничего не обнаружила. Помимо этого есть подозрения на наличие разного рода кейлогеров.
С уважением, Александр.
Printable View
Добрый день.
Появился в процессах (csrss_tc.exe), убить не получается, полная проверка антивирусами ничего не обнаружила. Помимо этого есть подозрения на наличие разного рода кейлогеров.
С уважением, Александр.
Здравствуйте.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('\\server\public\Hardwar_Reports\login_ip\disk_w.bat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys','');
QuarantineFile('C:\WINDOWS\system32\HideAgent.dll','');
QuarantineFile('c:\windows\system32\csrss_tc.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
файл загрузил, disk_w.bat файл для монтирования сетевого диска с сервера, насколько я помню.
У вас не установлена случайно какая-нибудь программка с названием вроде Time Control?
нет, ничего подобного не устанавливали.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\HideAgent.dll');
DeleteFile('C:\WINDOWS\system32\csrss_tc.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
выполнил, логи собрал
В логах все нормально.
Поскольку у меня были некоторые сомнения, я не включил в скрипт команды для зачистки реестра от следов удаляемых файлов. Если после удаления проблем не возникло, то выполните еще такой скрипт, где эти команды добавлены, и на этом лечение будет закончено:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\HideAgent.dll');
DeleteFile('C:\WINDOWS\system32\csrss_tc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Time Control Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]
(Компьютер перезагрузится. Логи можно не повторять).
выполнено, левых процессов не обнаружено.
спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]