Тоже много вирусов... Хелп.
Дано: "корпоративный" компьютер, другими словами - дитя без глазу.
За четыре года хватали вирусы, лечили, недолечивали, теперь поставлен безлимитный доступ в сеть - и, конечно, началась беда. В оправдание могу лишь сказать, что стоит лицензионный NOD32... И надеюсь, эти логи не самое ужасное, что вы видели в своей жизни...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы, обновите базы AVZ!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); DeleteService('Winyn73'); DeleteService('Winxn30'); DeleteService('Winxh63'); DeleteService('Winwg27'); DeleteService('Winvi70'); DeleteService('Winux52'); DeleteService('Winsw37'); DeleteService('Winsf08'); DeleteService('Winqa77'); DeleteService('Winpy84'); DeleteService('Winox72'); DeleteService('Winli84'); DeleteService('Winjp38'); DeleteService('Winil77'); DeleteService('Wingl15'); DeleteService('Wingk27'); DeleteService('Winbe28'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyn73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxn30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxh63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwg27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvi70.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winux52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsf08.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqa77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpy84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winox72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winli84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winji41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winil77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe28.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbe28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winil77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winji41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjp38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winli84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winox72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpy84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqa77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsf08.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsw37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winux52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvi70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwg27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxh63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxn30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyn73.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
отключил, обновил (извиняюсь что не раньше как положено)
Выполнил скрипт, сделал карантин. Перезагрузился, выполнил логи по новой.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
В логах чисто...Код:begin ExecuteRepair(13); RebootWindows(true); end.
Черт возьми, как приятно иметь дело с профессионалом. Спасибо вам, Григорий! Остается только жалеть, что я не стал носителем какого-либо неизвестного вам зверя - вот тогда бы, наверное, тоже получили удовольствие! - а то все юзеры, ламеры... Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 44
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) mk012, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
