Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\SystemRestt.exe',''); QuarantineFile('F:\autorun.inf',''); DeleteFile('F:\autorun.inf'); DeleteFile('F:\SystemRestt.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
I am not young enough to know everything...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
К сожалению созданный карантин тут же куда то унес NOD 32А повторный запуск данного скрипта не создал карантина. Xcopy в system32 так и сидит
Добавлено через 7 минут
Вроде нашел куда его NOD унес, посмотрите пожалуйста то ли это? Вроде как в соответствующем каталоге AVZ файлик был, но сам AVZ из файл-просмотр карантина ничего не показывает, сделал архив вручную и отправил.
Последний раз редактировалось dreamair; 17.02.2008 в 15:27. Причина: Добавлено
windows\system32\xcopy.exe - это законный файл.
он и выполняет копирование с флэшки, это ж вы так настроили.
Очевидно, флэшка теперь очищена от заразы. Проверьте, не осталось ли копий на D:, где у вас дублировалось ее содержание.
I am not young enough to know everything...
Нет, нет! Это не мое!
Я сделал D:\1C_Back\save_flash.bat который содержит:
IF EXIST F:\Эксперт xcopy D:\1C_Back\Expert.zip F:\Эксперт /D /R /Y /Q
IF EXIST D:\1C-EXP_Flash xcopy F:\*.* D:\1C-EXP_Flash /D /EXCLUDE:Исключения.txt /E /H /R /Y /Q
А C:\WINDOWS\system32\xcopy.exe - это не мое!! И этот файл чудесным образом восстанавливается если его удалить! И именно на него ругается NOD32 когда в каталоге D:\1C-EXP_Flash в очередной раз появляется SystemRestt.exe...
А! Я кажется понял и тут же проверил на соседнем компе. Xcopy - это собственно и есть файл который выполняет команду xcopy в bat файле! и восстанавливается чудесным образом он самой виндой! Просто SystemRestt.exe также закидывался этой командой, поэтому на него NOD32 и ругался!
Значит все в порядке. Спасибо огромное!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \\avz00001.dta - IRC-Worm.Win32.Delf.z (DrWEB: Trojan.DownLoader.46389)
Уважаемый(ая) dreamair, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
