-
Junior Member
- Вес репутации
- 56
недобитый syssenddrv.sys
словил в инете
антивирус - nod32 - 3902
ругался на файл раз в 20 мин. потом помещал его в карантин
также комп спамил в сеть (исх. траффик был в 4 раза больше вх.)
действия:
1. проверка в обычном режиме - чисто
2. проверка в безопасном режиме - 1 вирус (ругался на файл фотошопа) - но никаких действий не предпринял, посоветовал отправить файл (2,8mb) для анализа.
3. очистка всех временных папок и удаление плагинов IExplorera
4. загрузка avz и проверка
итог - больше не ругается, но из-за того что входящий и исх траффик теперь равны, делаю вывод что недобил. у остальных в компании исходящий в разы меньше входящего.
Последний раз редактировалось budem; 03.03.2009 в 10:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jiczh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\jiczh.sys');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('ejxuysqoktwph');
BC_DeleteSvc('ejxuysqoktwph');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40863).
Откройте в AVZ Менеджер ActiveSetup и удалите строку с упоминанием
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
повторно
строку удалил
карантин выслал
новые логи
Последний раз редактировалось budem; 11.03.2009 в 07:26.
-
Логи чистые. Ставьте SP3 + последующие обновления.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\jiczh.sys - Rootkit.Win32.Agent.hti( DrWEB: Trojan.NtRootKit.2632, BitDefender: Rootkit.16447 )
-