-
Junior Member
- Вес репутации
- 52
Вирусы в локальной сети после winupd01
Здравствуйте. Проблема следующая, на нескольких компьютерах в сети был обнаружен winupd01 в ctfmon, после долгой битвы был побежден, но осталась подмена диспетчера задач и
e:\windows\system32\svchost.exe:exe.exe:$DATA >>> И еще, что самое интересное перестала отправляться почта по smtp на всех компьютерах, кроме одного с windows vista, на остальных xp. Выкладываю логи одного из компьютеров, помогите пожалуйста. Кстати Nod ESS пишет следующее:
Модуль сканирования файлов, исполняемых при запуске системы оперативная память Оперативная память Win32/Rustock троянская программа. Очистка невозможна.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\System Volume Information\_restore{3E213137-B28F-4317-A06D-F8AD74714047}\RP300\A0072158.exe:exe.exe:$DATA','');
QuarantineFile('E:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('E:\Documents and Settings\Снек\Application Data\ustkp.exe','');
BC_QrSvc('edfynygjfmy');
DeleteService('edfynygjfmy');
DeleteFile('E:\Documents and Settings\Снек\Application Data\ustkp.exe');
DeleteFile('E:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('E:\System Volume Information\_restore{3E213137-B28F-4317-A06D-F8AD74714047}\RP300\A0072158.exe:exe.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 52
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\DOCUME~1\8DBC~1\LOCALS~1\Temp\ztrmvfdk.sys');
DeleteService('edfynygjfmy');
DeleteFile('E:\Documents and Settings\Снек\Application Data\ustkp.exe');
DeleteFile('E:\System Volume Information\_restore{3E213137-B28F-4317-A06D-F8AD74714047}\RP300\A0072580.exe:exe.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
BC_DeleteSvc('edfynygjfmy');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи AVZ по правилам
-
-
Junior Member
- Вес репутации
- 52
Логи
Сделано, вродебы все нормально, спасибо большое.
-
Чисто
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- e:\documents and settings\снек\application data\ustkp.exe - Backdoor.Win32.EggDrop.awl ( DrWEB: Trojan.MulDrop.55658, BitDefender: Trojan.Generic.3681639, AVAST4: Win32:Trojan-gen )
- e:\system volume information\_restore{3e213137-b28f-4317-a06d-f8ad74714047}\rp300\a0072158.exe:exe.exe:$data - Trojan.Win32.Agent.dsnw ( DrWEB: Trojan.Spambot.6760, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
- e:\system volume information\_restore{3e213137-b28f-4317-a06d-f8ad74714047}\rp300\a0072580.exe:exe.exe:$data - Trojan.Win32.Agent.dsnw ( DrWEB: Trojan.Spambot.6760, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
- e:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.dsnw ( DrWEB: Trojan.Spambot.6760, BitDefender: Gen:Variant.FakeAlert.6, AVAST4: Win32:Kates-AO [Trj] )
-