-
Junior Member
- Вес репутации
- 63
Помогите победить ВИРУС
При проверке Dr.Web появляется отчет C:\sistem Volume information\_rest...Trojan.PWS.Slaped пишет удалено.проверяю все чисто.но при перезагрузке компа все повторяется.? после отключения вост.системы и проверке AVZ, нашелся другой вирус (не записал его) и был удален. После перезагрузке вирус Trojan.PWS.Slaped не обнаруживался. Проверяю антивирусником все чисто, но при входе в интерент чтото-качается.
Помогите пожалуйста.
Последний раз редактировалось voron; 24.01.2009 в 12:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mysvcc.exe','');
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('C:\Documents and Settings\User\2.exe','');
QuarantineFile('c:\windows\system32\srvc.exe','');
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как написано в прил.2 правил ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7862
-
-
Junior Member
- Вес репутации
- 63
-
Выполните скрипт и вышлите содержимое карантина
Код:
var
i : integer;
begin
SetAVZGuardStatus(True);
ClearQuarantine;
RefreshProcessList;
for i := 0 to GetProcessCount - 1 do begin
AddToLog(IntToStr(GetProcessPID(i)) + ' '+ GetProcessName(i));
if pos('srvc.exe', LowerCase(GetProcessName(i))) > 0 then
TerminateProcess(GetProcessPID(i));
end;
QuarantineFile('c:\windows\system32\srvc.exe','');
DeleteFile('c:\windows\system32\mysvcc.exe');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc');
end.
Последний раз редактировалось Зайцев Олег; 09.02.2007 в 20:26.
-
-
Junior Member
- Вес репутации
- 63
Проверил на вирусы может быть поторопился, но нашел:
srvc.exe;c:\windows\system32;BackDoor.Mailbot;Удал ен.;
rpcc.dll;C:\WINDOWS\system32;Win32.HLLM.Bid;Удален .;
3.exe;C:\Documents and Settings\User;BackDoor.Mailbot;Удален.;
3[1].exe;C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\SLY3S9UR;BackDoor.Mailbot;Удален .;
avz00001.dta;C:\avz4\Quarantine\2007-02-09;BackDoor.Mailbot;Удален.;
-
Скрипт от Geser-а выполнили? Если да, сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось voron; 24.01.2009 в 12:48.
-
Вроде как померло. Пофиксите:
Код:
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [slack12] C:\Documents and Settings\User\2.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [slack12] C:\Documents and Settings\User\2.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
-
-
Junior Member
- Вес репутации
- 63
Больше "комп" вроде не скачивает профиксил по инструкции, что высылать не понял, если нужно?
ОГРОМОЕ СПАСИБО ВСЕМ ЗА ПОМОЩЬ
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mysvcc.exe - Backdoor.Win32.SdBot.awk (DrWEB: BackDoor.IRC.Sdbot.3045)
- c:\\windows\\system32\\srvc.exe - Backdoor.Win32.SdBot.beb (DrWEB: BackDoor.Mailbot)
-