Найти и скопировать, положить в zip с паролем virus и отправить карантин по правилам.
Printable View
Найти и скопировать, положить в zip с паролем virus и отправить карантин по правилам.
Я отправила сейчас один архив, но без пароля. У него подозрительно маленький размер. А сейчас попыталась найти вручную, без помощи AVZ и заархивировать. Но, опять же, копируется только один файл - syskrnl3. Надо ли прислать этот архив?
[QUOTE]Надо ли прислать этот архив?[/QUOTE]
Давайте.
Присылайте.
Но лучше это делать через AVZ. Там архивируется сразу с паролем.
Если AVZ не добавляет, значит файл найден в базе безопасных.
Отправила
Ух какая зверушка попалася - [B]Trojan-PSW.Win32.LdPinch.bex[/B] ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\syskrnl3.exe');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
После этого на всякий случай попробуйте еще раз закарантинить
C:\WINDOWS\system32\drivers\mnqvberu.sys
из безопасного режима.
Также почистите временные файлы интернета в IE.
И логи придется еще раз сделать.
А в безопасном режиме делать скрипт или всё равно?
Все равно.
Рада была доставить профессиональную радость!
Но файл по-прежнему не карантинится. Отправляю полученный архив, но там, по-видимому, ничего нового.
и раз пинча подхватили, то желательно сменить пароли,от почты,icq,платёжных систем,т.к его задача как раз воровство паролей ;)
Временные файлы удалила, логи сделала (во время работы AVZ, при запуске 2-го скрипта "Скрипт лечения \ карантина и сбора информации для раздела "помогите!..."" опять вылезали сообщения от NODа - о вирусах).
[QUOTE]опять вылезали сообщения от NODа - о вирусах[/QUOTE]
Вообще-то при выполнении скриптов полагается отключать антивирус...
А сообщения случайно были не про [B]ckeacke.dll [/B]??
В HijackThis его строки как будто не пофикшены,
и ckeacke.dll.bak не удалился. Что-то здесь нечисто.
Да еще драйвер этот некарантинящийся! Надо подумать.
Простите бедного музыканта!.. :embarasse
Впредь буду (и до того старалась..) выполнять всё по правилам.
Не могу точно сказать, по поводу каких файлов высказывался антивирус, - только то, что их было 2 разных.
Кстати, у вас не обновлены базы AVZ, это не порядок!
Давайте сделаем так:
1. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing)
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)
[/code]
2. Обновите базы AVZ.
3. Сделайте логи еще раз.
Может что-то и выяснится, тогда уже будем принимать решение.
Эти двое - O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing) и
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing) не фиксятся, все остаются на местах.
А логи сделала. С обновленным AVZ.
У меня папочка образовалась - с названием Infected. Архив прислать?
[QUOTE]У меня папочка образовалась - с названием Infected. Архив прислать?[/QUOTE]
Если это в папке AVZ, то не надо.
Все-таки этот загадочный драйвер надо удалять. Других зацепок просто нет.
Но все же сделаем последнюю попытку его закарантинить.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('bsgskays');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки второй:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll');
BC_ImportDeletedList;
BC_DeleteSvc('bsgskays');
BC_DeleteFile('C:\WINDOWS\system32\drivers\mnqvberu.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите.
Снова попробуйте пофиксить те две строчки.
И опять новые логи (ничего не поделаешь, надо значит надо ;))
Строчки по-прежнему не фиксятся. Новые логи сделала, карантин тоже. AVZ написал, что вредоносных программ нет.
Карантин пуст. На будущее: если в нем только ini-файлы, то высылать не надо.
@Bratez [url]http://www.sophos.com/security/analyses/trojdelfeqt.html[/url] -
вот такое описалово нашлось. Файлик основной, правда по-другому зовется, но очень похоже на наш случай.
Учту все пожелания, спасибо!
То есть, на данный момент с вирусами покончено?