Известный троян, подцеплен с флешки. Логи высылаю.
Известный троян, подцеплен с флешки. Логи высылаю.
Последний раз редактировалось Игорь; 10.03.2010 в 23:50.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\ezpinst.exe',''); TerminateProcessByName('c:\windows.1\system32\csrcs.exe'); QuarantineFile('C:\WINDOWS.1\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS.1\system32\csrcs.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36661.
В AVZ -> файл-> Выполнить скрипт
Повторите логи по правилам.Код:begin executeAVUpdate; end.
К компу временно доступа нет.
А пока вопрос и доплнение:
В чем суть скрипта №2?
Накопал на стороне http://forum.olympus.ru (аналогичный случай):
В редакторе реестра трой создаёт значение параметров
1) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run - "csrcs";
2) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" -"explorer.exe csrcs.exe";
3) трой создает еще одну свою копию в файле с случайным именем в папке %systemroot%\system32.
Пункты 1 и 2 имеют место на компе.
Суть второго скрипта- это обновление баз AVZ. Обновлять нужно обязательно, в правилах это выделено.
Вы главное скрипт сделайте, а в реестре AVZ сам поковыряется.
AVZ обновил, появится доступ к компу-выполню скрипты.
Скрипт выполнил, логи выслал, карантин загружаю.
Последний раз редактировалось Игорь; 10.03.2010 в 23:50.
выполните скрипт
что с проблемами ?Код:begin DeleteFile('C:\System Volume Information\_restore{712C14F2-6A79-4F04-BEB7-B323778279EE}\RP0\A0005868.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Видимых проблем нет, трой удалён, ключи реестра исправлены, скрытые файлы "khr" весом 0 Байт в корнях дисков, удалил вручную, после перезагрузки они не появились.
Скрипт выполню завтра, когда появится доступ к компу.
Скрипт выполнил, видимых проблем нет. Думаю тема закрыта.
Всем спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows.1\\system32\\csrcs.exe - Trojan.Win32.Autoit.fj (DrWEB: Win32.HLLW.Autoruner.666)
Уважаемый(ая) Игорь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.