Опять непонятное поведени, а точнее понятное поведение. Была подвхвачена всякая гадость, в результате комп стал спам-сервером.
Логи выслал. Также выслал карантин.
Опять непонятное поведени, а точнее понятное поведение. Была подвхвачена всякая гадость, в результате комп стал спам-сервером.
Логи выслал. Также выслал карантин.
Последний раз редактировалось Jinn; 29.01.2008 в 22:19.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('C:\WINDOWS\system32\HKLock.dll',''); QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\w32drv2.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Карантин выслал. Логи тоже.
Последний раз редактировалось Jinn; 29.01.2008 в 22:19.
Операция прошла успешно.
Осталось немного:
1.Явно какой-то из "флэшечных" вирусов.>>> I:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
2. Подозрительный C:\WINDOWS\system32\HKLock.dll.
Последний раз редактировалось Bratez; 21.11.2007 в 15:18.
I am not young enough to know everything...
Trojan-PSW.Win32.LdPinch.edh C:\WINDOWS\system32\w32drv2.exe
После лечения смените все пароли
Worm.Win32.VB.fi I:\autorun.inf
Добавлено через 11 минут
C:\WINDOWS\system32\mssrv32.exe свеженький зловред
C:\WINDOWS\system32\HKLock.dll - чистый по вирустоталу
C:\Documents and Settings\Александр\Local Settings\Temp\winlogon.exe - тоже свеженький
Добавлено через 7 минут
Затем карантин опять пришлитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('I:\Recycled\ctfmon.exe',''); DeleteFile('I:\Recycled\ctfmon.exe'); DeleteFile('I:\autorun.inf'); BC_ImportAll; BC_QrFile('I:\Recycled\ctfmon.exe'); BC_QrFile('C:\Recycled\ctfmon.exe'); BC_QrFile('c:\windows\offline web pages\svchost.exe'); BC_DeleteFile('I:\Recycled\ctfmon.exe'); BC_DeleteFile('C:\Recycled\ctfmon.exe'); BC_DeleteFile('c:\windows\offline web pages\svchost.exe'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось rubin; 21.11.2007 в 14:49. Причина: Добавлено
Уважаемый(ая) Jinn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.