Printable View
ДД!на клиентской машине система периодически вываливается в синий экран,с указанием на winlogon ,либо без указания библиотеки.SDFix
обнаружил массу вирусов с именами tmp*.*, AVP Tool также находит.После лечения ничего не меняется.Через удаленку собрал пару логов.Лог лечения утилитой AVZ отсутствует(выбирали проверку-лечение не скриптом,а вручную,находились подозрительные файлы,причем lsacc.sys поиском на диске не находится)
Заранее спасибы.
Протокол антивирусной утилиты AVZ версии 4.34
/
Cкачайте новую версию AVZ, обновите базы и логи переделайте. Должно быть три лога!
лог лечения,утилита версии 4.34
утилитку обновлю,конечно
комп немного не под рукой
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 20 минут[/I][/B][/color][/size]
немного обескуражен удалением вложения -в присланном архиве опасность?
Новые логи + минидамп
старый NOD32 со свежими базами находит в памяти вирус,удалить не может
Авира ничего критического не видит.
Может быть вирус и синий экран не связаны-для этого высылаю минидамп
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Inst.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Uskiko\ohnuq.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Uskiko\ohnuq.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('digeste.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_DeleteSvc('jimzbhj');
BC_DeleteSvc('SSPORT');
BC_Activate;
SetServiceStart('Alerter', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=98147[/url]).
Авира и Нод одновременно - не есть гут. Оставьте что-то одно.
Сделайте новые логи.
доброночь!
восстановление системы отключил после скрипта лечения и сбора инфо
там же ,в промежутке поставил Авиру и просканировал ей-ничего не нашла,
останется НОД
скрипт выполню завтра,странное дело-файлик amvo.exe помнится,легко распознавался AVZ как червь
И еще вопрос-постоянно запущенный TeamViewer предстваляет угрозу безопасности?Иногда проще в конце дня попросить клиента запустить удаленку
и работать спокойно ,и не мозолить друг другу мозги в рабочий полдень
[QUOTE='WagonZ;768234']странное дело-файлик amvo.exe помнится,легко распознавался[/QUOTE]
Его у вас очевидно нет, только следы от когда-то удаленного.
Включен в скрипт ради зачистки этих следов.
[QUOTE='WagonZ;768234']постоянно запущенный TeamViewer предстваляет угрозу безопасности?[/QUOTE]
Пренебрежимо малую.
карантин отправил
Файл сохранён как 110217_103829_virus_4d5cd07523a0f.zip
Размер файла 65041
MD5 61b18ffd32772360f3da0de7725e1887
Файл C:\WINDOWS\system32\sfcfiles.dll замените на чистый из дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Сделайте новые логи.
файлик подменил,при лечении заметил-сканируется папка system volume information,снова отключил восстановление
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bper[/B] ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Buzy.1803, AVAST4: Win32:Parchood-B [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]