Printable View
Отлично!
kcp.sys - [B]Trojan-Downloader.Win32.Agent.bnm[/B]
msvc32.dll - [B]Backdoor.Win32.IRCBot.adg[/B]
Выполните скрипт:
[code]
begin
BC_DeleteSvc('kcp');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
И сделайте новые логи по правилам, надеюсь теперь все будет чисто.
[B]kcp.sys[/B] - Hacktool.Rootkit (по Симантеку)
Все остальное уже сказано.
Итак, все сделал, и теперь уже скрипт на лечение-карантин прошел нормально, в обычном режиме.
Одна зараза вроде, как все таки выжила, вообщем прилагаю )
Удаляем выжившую заразу:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
И вот эту ерунду можно пофиксить:
[code]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/code]
Последний вопрос - из этого что-то используется:
[code]
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code]
думаю, что не пользуется, но в крайнем случае, это же можно будет вернуть назад? ))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\kcp.sys - [B]Trojan-Downloader.Win32.Agent.bnm[/B] (DrWEB: Trojan.Rawlam)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\system32\\drivers\\uaa12.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\ipv6monl.dll - [B]Trojan-Spy.Win32.BZub.ih[/B] (DrWEB: Trojan.PWS.Tanspy.712)[*] c:\\windows\\system32\\mstscex.dll - [B]Trojan-Downloader.Win32.Agent.bnm[/B] (DrWEB: Trojan.Rawlam)[*] c:\\windows\\system32\\msvc32.dll - [B]Backdoor.Win32.IRCBot.adg[/B] (DrWEB: Trojan.DownLoader.30836)[*] c:\\windows\\system32\\syscvms.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.q[/B] (DrWEB: Trojan.Starter.212)[*] c:\\windows\\system32\\y1.dll - [B]Trojan.Win32.Agent.aph[/B] (DrWEB: Trojan.Sespy)[/LIST][/LIST]