Посмотрите пожалуйста логи.
Посмотрите пожалуйста логи.
Последний раз редактировалось Shopot; 16.10.2008 в 19:04.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winys45'); DeleteService('Winyb82'); DeleteService('Winvj21'); DeleteService('Winpg78'); DeleteService('Winnr34'); DeleteService('Winlc34'); DeleteService('Winhx25'); DeleteService('Windi23'); DeleteService('Winac78'); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winac78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi23.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhx25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlc34.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnr34.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpg78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvj21.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyb82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winys45.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
спам продолжается.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\msvcrt58.dll'); DeleteFile('C:\WINDOWS\system32\drivers\00000477.sys '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
логи.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Выполните полную проверку CureIT и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('0000047E.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\0000047E.sys'); DeleteFile('msvcrt58.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил проверку, CureIt ничего не нашел.
Спам продолжается.
AVZ в расширенном мониторинге нашел в папке
C:\WINDOWS\system32\DRIVERS\ файлик dhmgeaevgq.sys . Virustotal идентифицировал файл руткитом.Удалил c помощью IceSword + прошелся скриптом AVZ. Спам прекратился. Файлик в карантин прислать?
Выполните скрипт:
Сделайте логи, файлик пришлите по правилам...Код:begin SetAVZPMStatus(true ); RebootWindows(true); end.
Логи прислать уже не смогу, компьютер знакомого. Жалоб нет. Карантин выслал.
Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\dhmgeaevgq.sys - Rootkit.Win32.Pakes.n (DrWEB: Trojan.Spambot.354
Уважаемый(ая) Shopot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.