Помогите разобраться с червем

Червь Worm_Warczov.cp; Worm_stration.zp; possible_stray-6 пришли через Skype, Trend micro видит, убить не может- высылаю логи..

Где логи?

Не прикрепляются логи. Есть-ли другой способ отправки Вам файлов?

Вот логи:

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\SS617.EXE','');
QuarantineFile('sdhccard.dll','');
QuarantineFile('C:\WINDOWS\system32\syst1b3.dll','');
QuarantineFile('C:\WINDOWS\system32\xvidusrc.dll','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Карантин пришлите согласно приложению 3 правил.
Загружать через [URL="http://virusinfo.info/upload_virus.php?tid=10192"]эту форму[/URL].
В крайнем случае шлите мне на почту.

P.S. xvidusrc.exe в первом карантине - Email-Worm.Win32.Warezov.ns
убивать будем следующим ходом ;)

Подскажите, что делать дальше?

Вы уж не путайте нас, товарищ [B]Egorrr[/B] клялся что он ведёт дело ;)Так что там у вас происходит? 2 разных темы на одну проблему- это слишком , я одну удалю - скажите какую .

Удаляй тему: Помогите разобраться с червем часть 2 ;)
Я вчера с работы рано ушёл....
Давай борьбу продолжим, а то народ без зарплаты останится:)

в следующий раз архивировать по правилам из АВЗ !!! Пришёл без пароля !


C:\WINDOWS\system32\xvidusrc.exe
C:\WINDOWS\TEMP\SS617.EXE
C:\WINDOWS\system32\syst1b3.dll
sdhccard.dll
найти с помощью авз по пункту 2 правил , запаковать как указано и загрузить [url]http://virusinfo.info/upload_virus.php?tid=10192[/url].

По указанному пути avz ничего не нашёл...
p.s. В моё отсутствие диск подсоединяли на отдельный комп, и сканили докторомВебом и трендмикро, может они их прибили?

Может и прибили, что тут скажешь... Вот интересно, когда механик крутит гайки под капотом Вашего авто, Вы становитесь рядом и начинаете крутить другие гайки? ;)
Сделайте новые логи, будем смотреть сначала.

повторную диагностику запустил...

По поводу гаек:

[B][FONT="Book Antiqua"]Любые дела прожодят пять стадий:[/FONT][/B]
-шумиха;
-неразбериха
-поиск виноватых;
-наказание невиновных;
[U]Награждение [/U]тех, кто не имеет к этому никакого отношения;)

повторные логи

Пофиксите в HijackThis строчку:
[code]
O20 - Winlogon Notify: xvidusrc - C:\WINDOWS\system32\xvidusrc.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_QrFile('c:\windows\temp\kg32b6.exe','');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам.
Интересуют только два файла, указанные в скрипте. Если в карантине по-прежнему будет куча DLL от CryptoPro - их слать не надо. Только эти два.

При запуске скрипта avz выдаёт ошибку: Too many actual Parameters в позиции 3:11

Исправил:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\cpadvai.dll');
BC_QrFile('c:\windows\temp\kg32b6.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]

Отлично!!! Скрипт отработал, комп рибутнулся, в карантине два файла: bcqr00001.ini, bcqr00001.ini. Их присылать?:?

Не надо.

Спасибо Вам за ваш труд, и потраченое на меня время:)
наша бухгалтерия Вам благодарна;)
________________
Сергей

В общем нужен контр. выстрел - новые логи после лечения. Если будут проблемы с загрузкой можно удалить старые.