Printable View
У клиентов 2 машины подцепили каких то спамботов, их деятельность видна после запуска команды netstat -b, при запуске авз для создания логов, компьютер перезагружается, после запуска cureit происходит тоже самое, провайдер сказал что вечером отключит клиентов если не перестанут слать спам, помогите, нужна помошь как можно быстрее
Сделайте так:
pingpong.pif - переименованный спец. AVZ [url]http://rapidshare.com/files/116949749/pingpong.pif.html[/url]
Скачайте его, запустите, включите AVZGuard и сделайте логи по правилам. Если не получится сделать стандартный скрипт номер 3, то сделайте хотя бы номер 2 и прикрепите полученный лог + лог HijackThis.
Для каждой машины отдельная тема.
спасибо сейчас попробую
вот логи которые удалось сделать
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\SecureTroy\Port.exe','');
QuarantineFile('C:\WINDOWS\system32\sysservice.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rtqqqvqp.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PsSdk30.drv','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vja20.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Dim04.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Dim04.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vja20.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sysservice.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Dim04');
BC_DeleteSvc('Vja20');
BC_DeleteSvc('PowerManager');
BC_DeleteSvc('grande48');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27942[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Опять при запуске cureit компьютер ушел в ребут, вот логи, опять 2 которые удалось сделать, + архив с карантином
у меня еще вопросик, вроде бы карантин выгрузился только что то я его тут не вижу, скажи пожалуйста пришел он или нет
[QUOTE=vofka;266588]у меня еще вопросик, вроде бы карантин выгрузился только что то я его тут не вижу, скажи пожалуйста пришел он или нет[/QUOTE]Пришел. Вы должны были получить инфу после закачки. Если в конце стоит - Файл закачан Спасибо - значит все ОК.
[quote=Rene-gad;266590]Пришел. Вы должны были получить инфу после закачки. Если в конце стоит - Файл закачан Спасибо - значит все ОК.[/quote]
спасибо буду знать, наверное невнимательно правила прочитал, виноват
[QUOTE=vofka;266591]виноват[/QUOTE]Ни в чем Вы не виноваты :)
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Dim04.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('QTSQPSQS.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\QTSQPSQS.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Dim04.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('restore');
BC_DeleteSvc('Dim04');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин и скопированный Вами файл в архиве с паролем virus по правилам.
Сделайте новые логи.
вот новые логи, файлик и карантин выслал
Не могу скачать Ваш карантин - назовите его латинскими буквами и не делайте имя архива длинным, закачайте снова.
извините єто уже завтра, так как я уже не на работе, завтра утром выложу
Карантин переименовал, только что выслал, посмотрите пожалуйста
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\QTSQPSQS.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('QTSQPSQS');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи по правилам (3 лога).
логи
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
QuarantineFile('C:\wutemp\srvsxc.exe','');
QuarantineFile('C:\wutemp\irvxc.exe','');
DeleteFile('C:\wutemp\irvxc.exe');
DeleteFile('C:\wutemp\srvsxc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Я бы на всякий случай удалил папку C:\wutemp\
Пришлите новый карантин по правилам.
Скачайте обычную версию AVZ (ссылка в правилах), у Вас теперь все должно запускаться и работать.
Обновите ее базы и сделайте новые логи.
новые логи
Почему у Вас версия AVZ музейная - 4.29 ? В правилах ссылка на новую версию 4.30. Скачайте, обновите ее базы и сделайте логи ей.