Подхватил недавно где-то вирус, грузит процес svchost и создает какие-то копии в папке windows. Что приводит к заполнению диска.
Подхватил недавно где-то вирус, грузит процес svchost и создает какие-то копии в папке windows. Что приводит к заполнению диска.
Последний раз редактировалось deco90; 01.09.2009 в 17:34.
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('symavc32'); StopService('smtpdrv'); StopService('lanmandrv'); StopService('Fkn72'); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Fkn72.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Fkn72.sys'); DeleteFile('C:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\msindeo.dll'); DeleteFile('C:\WINDOWS\system32\rpcc.dll'); DeleteService('Microsoft Int Service'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Карантин загрузил
А логи где?
Добавлено через 2 минуты
В карантине:
rpcc.dll - Trojan-Proxy.Win32.Agent.tq
lanmandrv.sys - Rootkit.Win32.Agent.tc
Последний раз редактировалось Макcим; 16.01.2008 в 13:12. Причина: Добавлено
Что значит "повторить логи"?
надо заново зайти в HijackThis и сделать все заново?
Вот сделал логи заново
Последний раз редактировалось deco90; 01.09.2009 в 17:34.
Загрузил
Последний раз редактировалось deco90; 01.09.2009 в 17:34.
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip. Outpost нужно выгружать перед созданием лога.Код:begin SysCleanAddFile('C:\WINDOWS\system32\msindeo.dll'); ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил, повторил лог, без исп файервола
Последний раз редактировалось deco90; 01.09.2009 в 17:34.
"Пофиксите" в HijackThisПовторите лог HijackThis.Код:O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
Что из этого не нужно?Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ненужно
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Лог загрузил
Последний раз редактировалось deco90; 01.09.2009 в 17:34.
Компьютер здоров. Проблемы остались?
Нет, спасибо, всё нормально.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\lanmandrv.sys - Rootkit.Win32.Agent.cvt (DrWEB: Trojan.NtRootKit.77
- c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Agent.tq (DrWEB: Trojan.Spambot)
Уважаемый(ая) deco90, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.