Все время наблюдается исходящий трафик
Printable View
Все время наблюдается исходящий трафик
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('pe386');
BC_DeleteSvc('pe386');
BC_DeleteFile('C:\WINDOWS\system32\lzx32.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Потом ещё один
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\spoo1sv.exe','');
QuarantineFile('C:\WINDOWS\system32\a3dxq.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('\??\C:\WINDOWS\system32\drivers\Oreans.sys');
DeleteFile('C:\WINDOWS\system32\a3dxq.dll');
DeleteFile('C:\WINDOWS\system32\spoo1sv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи. Радмин сами ставили?
Радмин ставили сами.
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll
Этого не оказалось
логи прилагаю
Файл сохранён как/td> 070511_214620_virus 11-05-2007_4644abeccfadf.zip
Размер файла 146593
MD5 6a7611c422ea66dc0447a6d54ce17a1b
1. "пофиксите" в HijackThis ( [url]http://www.virusinfo.info/showthread.php?t=4491[/url] )
[code]
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
[/code]
2. Выполните скрипт в AVZ :
[code]
begin
AutoFixSPI;
RebootWindows(true);
end.
[/code]
А почему только hijackthis.log? Где логи от AVZ?
Что то они не хотели прикреплятся.
Так что сначала скрипт а потом логи?
[QUOTE]Так что сначала скрипт а потом логи?[/QUOTE]Да.
надо старые логи удалить, тогда и новые прикрепятся ;)
сначала сделать то что сказал, только затем новые логи сделать и прикрепив , удалив все старые .
Так, вроде получилось
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\[/CODE]
Проблема исчезла?
А что с карантином?
avz00001.dta,
bcqr00003.dat,
bcqr00004.dat - Trojan-Proxy.Win32.Xorpix.m,
avz00003.dta - Trojan-Proxy.Win32.Xorpix.ar,
bcqr00001.dat - Trojan-Clicker.Win32.Costrat.ah
Эти файлы определяются антивирусом. Обновите антивирусные базы.
avz00002.dta
Вредоносный код в файле не обнаружен.
Вобщем был удален один чистый файл [B]Oreans.sys[/B], очень похожий на зловреда.
название пахнет рекламным шпионом , выполните ещё один script и пришлите подозреваемого :
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\Program Files\Ipwindows\ipwins.exe','');
RebootWindows(true);
end.
[/code]
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
не удаляються однако :(
Спасибо
Еще Бренмауэр в следствии неопределенной ошибки не включился?
что может быть?
А какой у вас брeнмауэр ?
oreans.sys от программы по защите легального использования какой-нибудь программы установленной у вас.Можно назад её вам отправить, ничего страшного. Макс, думаю организует ;)
P.S . Потом надо будет зарегистрировать . Вот совет, как делать это с удобствами на будущее ;)
[url]http://www.israbard.net/kompunet/view.php?nid=218[/url]
[url]http://www.hardline.ru/5/51/4111/[/url]
[QUOTE]Можно назад её вам отправить, ничего страшного. Макс, думаю организует[/QUOTE]Так она хранится в карантине AVZ ;)
Бранмауэр Windows
Значит отставляем как есть?
[quote=MaXim;109210]Так она хранится в карантине AVZ ;)[/quote]
Возможно уже нет, clearquarantine должен был почистить , если память не изменяет .
[QUOTE]Макс, думаю организует[/QUOTE]Прошу принять назад Ваш чистый файл :)
Поместитие его в C:\WINDOWS\system32\drivers, а дальше все по инструкции drongo.