[quote=pahtackor;141500]То есть я удалил все вирусы ?[/quote]Я не про это, я про то что логи старые удалил и теперь можно загрузить новые логи в тему ,дабы удалить все оставшиеся вирусы.
Printable View
[quote=pahtackor;141500]То есть я удалил все вирусы ?[/quote]Я не про это, я про то что логи старые удалил и теперь можно загрузить новые логи в тему ,дабы удалить все оставшиеся вирусы.
Вот логи
Вот такой интересный итог:
Файл avz00004.dta(C:\WINDOWS\system32\sysfldr.dll) получен 2007.10.12 11:03:11 (CET)Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.12.1 2007.10.12 -
AntiVir 7.6.0.20 2007.10.12 HEUR/Malware
Authentium 4.93.8 2007.10.12 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.12 Generic.Malware.SFdld.2452B993
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.12 -
eSafe 7.0.15.0 2007.10.10 suspicious Trojan/Worm
eTrust-Vet 31.2.5205 2007.10.12 Win32/DlWreck!generic
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.12 -
Fortinet 3.11.0.0 2007.10.12 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.12 -
Ikarus T3.1.1.12 2007.10.12 Trojan-Proxy.Win32.Webber.U
Kaspersky 7.0.0.125 2007.10.12 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.12 -
NOD32v2 2587 2007.10.12 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 Suspicious file
Prevx1 V2 2007.10.12 Heuristic: Suspicious File With Bad Parent Associations
Rising 19.44.42.00 2007.10.12 -
Sophos 4.22.0 2007.10.12 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.12 -
TheHacker 6.2.8.087 2007.10.12 -
VBA32 3.12.2.4 2007.10.11 suspected of MalwareScope.Trojan-PSW.Pinch.1 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.12 Heuristic.Malware
Дополнительная информация
File size: 12800 bytes
MD5: fa02e1fdcd3458aac505af6346813250
SHA1: ff55aa84ebd7e1a1517d6aa79da71b768227db39
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: [url]http://fileinfo.prevx.com/fileinfo.asp?PX5=6743B32100047D673276000021125A0052140B6B[/url]
Скорее всего реакция антивирусов на упаковщик.
И что мне делать надо?
[b]Trojan-Proxy.Win32.Agent.pr[/b] - вот так будет называться по Касперскому.
Скрипт напишу. Выполнять в защищенном режиме.
Это первый:
[CODE]begin
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем второй:[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
BC_DeleteFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этого установить AVZPM, перезагрузиться и сделать снова логи.
Всмысле отправить те которые сейчас есть или заново сделать проверку скриптов?
Сначала выполнить скрипты в том режиме, что я написал (Safe Mode).
Потом включить AVZPM, перезагрузиться.
Сделать новые логи и прикрепить их сюда.
Вот.
логи я так понял старые .... полученные до скрипта ... ?
Да вроде нет
выполните скрипт..
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
[/code]
затем второй ...
[code]
begin
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\DOCUME~1\6524~1\LOCALS~1\Temp\winlogon.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...
Вот логи.
Что-то вы путаете с логами.
syscure:
[quote]Сканирование запущено в 12.10.2007 11:36:07[/quote]
syscheck:
[quote]Сканирование запущено в 12.10.2007 11:51:31[/quote]
HijackThis:
[quote]Scan saved at 20:27:52, on 12.10.2007[/quote]
Вроде всё по инструкции делаю.
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
- просил же "установить драйвер мониторинга AVZPM"
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sysfldr.dll - [B]Trojan-Proxy.Win32.Agent.pr[/B] (DrWEB: Trojan.Proxy.2358)[/LIST][/LIST]