вирусы
Printable View
вирусы
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\trayicons.exe','');
QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
DeleteFile('C:\WINDOWS\system32\winsn.exe');
QuarantineFile('C:\WINDOWS\system32\ccfgcscd.dll','');
DeleteFile('C:\WINDOWS\system32\ccfgcscd.dll');
QuarantineFile('C:\WINDOWS\FONTS\FC0A4.com','');
DeleteFile('C:\WINDOWS\FONTS\FC0A4.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин.
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\trayicons.exe','');
QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
QuarantineFile('C:\WINDOWS\system32\ccfgcscd.dll','');
QuarantineFile('C:\WINDOWS\FONTS\FC0A4.com','');
QuarantineFile('C:\WINDOWS\system32\MRT.exe','');
QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
QuarantineFile('c:\windows\system32\shovth.exe','');
DeleteFile('c:\windows\system32\shovth.exe');
DeleteFile('C:\WINDOWS\system32\ccfgcscd.dll');
DeleteFile('C:\WINDOWS\system32\winsn.exe');
DeleteFile('C:\WINDOWS\system32\winsos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ...
я выполнил сначало первый скприпт, от пользователя Pavel, карантин отправил, от пользователя V _Bond тоже сделать?
там добавил строчку .... ( уж больно большой у вас карантин вышел) .... выполняйте ...
готово
А карантин загрузили?
Я его что-то не вижу.
[quote=PavelA;164852]А карантин загрузили?
Я его что-то не вижу.[/quote]
карантин загружал вчера, могу снова загрузить
Увидел и обалдел: 10Мб мне очень тяжко скачать. :(
[quote=PavelA;164861]Увидел и обалдел: 10Мб мне очень тяжко скачать. :([/quote]
новый сейчас закачал
c:\windows\system32\shovth.exe Trojan-PSW.Win32.QQP.ass.aom
C:\WINDOWS\system32\winsn.exe Trojan-PSW.Win32.QQP.ass.aom
C:\WINDOWS\system32\winsos.exe Trojan-Downloader.Win32.Small.qye
C:\WINDOWS\trayicons.exe Trojan-Downloader.Win32.Small.qye
F4A9C626.exe - поищите при помощи AVZ и пришлите по правилам ...
пофиксите ..
[code]
O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\FC0A4.com
O4 - HKLM\..\Run: [sis32] C:\WINDOWS\system32\winsos.exe
O4 - HKLM\..\Run: [winroot] C:\WINDOWS\system32\winsn.exe
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\reg.exe','');
DeleteFile('c:\windows\system32\shovth.exe');
DeleteFile('C:\WINDOWS\windisk.dll');
DeleteFile('C:\WINDOWS\FONTS\FC0A4.com');
DeleteFile('C:\WINDOWS\system32\winsn.exe');
DeleteFile('C:\WINDOWS\system32\winsos.exe');
DeleteFile('C:\WINDOWS\trayicons.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ...
Пароли придется менять, скорее всего ушли на сторону.
сделал (карантин тоже)
C:\.exe Trojan-PSW.Win32.QQP.ass.aom
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
reg.exe и F4A9C626.exe - найдите и пришлите по правилам ...
[quote=V_Bond;164940]C:\.exe Trojan-PSW.Win32.QQP.ass.aom
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
reg.exe и F4A9C626.exe - найдите и пришлите по правилам ...[/quote]
F4A9C626.exe - нашелся и поместился в карантин
reg.exe - нашелся в двух местах, но в карантин не поместился
карантин загрузил
C:\F4A9C626.exe - [B]Trojan-PSW.Win32.QQPass.aom[/B]
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\F4A9C626.exe');
BC_DeleteFile('C:\F4A9C626.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
[quote=zerocorporated;164950]C:\F4A9C626.exe - [B]Trojan-PSW.Win32.QQPass.aom[/B]
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\F4A9C626.exe');
BC_DeleteFile('C:\F4A9C626.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.[/quote]
сделал
Повторите логи
[quote=rubin;164958]Повторите логи[/quote]
повторяю
в логах нет ничего подозрительного .... какие-то проблемы остались ?
из этого что-то используется ... ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику