вирусы

[vve]

вирусы

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\trayicons.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
 DeleteFile('C:\WINDOWS\system32\winsn.exe');
 QuarantineFile('C:\WINDOWS\system32\ccfgcscd.dll','');
 DeleteFile('C:\WINDOWS\system32\ccfgcscd.dll');
 QuarantineFile('C:\WINDOWS\FONTS\FC0A4.com','');
 DeleteFile('C:\WINDOWS\FONTS\FC0A4.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин.

[V_Bond]

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\trayicons.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsos.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsn.exe','');
 QuarantineFile('C:\WINDOWS\system32\ccfgcscd.dll','');
 QuarantineFile('C:\WINDOWS\FONTS\FC0A4.com','');
 QuarantineFile('C:\WINDOWS\system32\MRT.exe','');
 QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
 QuarantineFile('c:\windows\system32\shovth.exe','');
 DeleteFile('c:\windows\system32\shovth.exe');
 DeleteFile('C:\WINDOWS\system32\ccfgcscd.dll');
 DeleteFile('C:\WINDOWS\system32\winsn.exe');
 DeleteFile('C:\WINDOWS\system32\winsos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи ...

[vve]

я выполнил сначало первый скприпт, от пользователя Pavel, карантин отправил, от пользователя V _Bond тоже сделать?

[V_Bond]

там добавил строчку .... ( уж больно большой у вас карантин вышел) .... выполняйте ...

[vve]

готово

[PavelA]

А карантин загрузили?
Я его что-то не вижу.

[vve]

А карантин загрузили?
Я его что-то не вижу.

карантин загружал вчера, могу снова загрузить

[PavelA]

Увидел и обалдел: 10Мб мне очень тяжко скачать.

[vve]

Увидел и обалдел: 10Мб мне очень тяжко скачать.

новый сейчас закачал

[V_Bond]

c:\windows\system32\shovth.exe Trojan-PSW.Win32.QQP.ass.aom
C:\WINDOWS\system32\winsn.exe Trojan-PSW.Win32.QQP.ass.aom
C:\WINDOWS\system32\winsos.exe Trojan-Downloader.Win32.Small.qye
C:\WINDOWS\trayicons.exe Trojan-Downloader.Win32.Small.qye
F4A9C626.exe - поищите при помощи AVZ и пришлите по правилам ...
пофиксите ..

Код:

O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\FC0A4.com
O4 - HKLM\..\Run: [sis32] C:\WINDOWS\system32\winsos.exe
O4 - HKLM\..\Run: [winroot] C:\WINDOWS\system32\winsn.exe
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\reg.exe','');
 DeleteFile('c:\windows\system32\shovth.exe');
 DeleteFile('C:\WINDOWS\windisk.dll');
 DeleteFile('C:\WINDOWS\FONTS\FC0A4.com');
 DeleteFile('C:\WINDOWS\system32\winsn.exe');
 DeleteFile('C:\WINDOWS\system32\winsos.exe');
 DeleteFile('C:\WINDOWS\trayicons.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи ...

[PavelA]

Пароли придется менять, скорее всего ушли на сторону.

[vve]

сделал (карантин тоже)

[V_Bond]

C:\.exe Trojan-PSW.Win32.QQP.ass.aom
выполните скрипт ...

Код:

begin
ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

reg.exe и F4A9C626.exe - найдите и пришлите по правилам ...

[vve]

C:\.exe Trojan-PSW.Win32.QQP.ass.aom
выполните скрипт ...

Код:

begin
ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

reg.exe и F4A9C626.exe - найдите и пришлите по правилам ...

F4A9C626.exe - нашелся и поместился в карантин
reg.exe - нашелся в двух местах, но в карантин не поместился
карантин загрузил

[zerocorporated]

C:\F4A9C626.exe - Trojan-PSW.Win32.QQPass.aom

1.В avz выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\F4A9C626.exe');
 BC_DeleteFile('C:\F4A9C626.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

[vve]

C:\F4A9C626.exe - Trojan-PSW.Win32.QQPass.aom

1.В avz выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\F4A9C626.exe');
 BC_DeleteFile('C:\F4A9C626.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

сделал

[rubin]

Повторите логи

[vve]

Повторите логи

повторяю

[V_Bond]

в логах нет ничего подозрительного .... какие-то проблемы остались ?
из этого что-то используется ... ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику