Помогите победить ВИРУС
При проверке Dr.Web появляется отчет C:\sistem Volume information\_rest...Trojan.PWS.Slaped пишет удалено.проверяю все чисто.но при перезагрузке компа все повторяется.? после отключения вост.системы и проверке AVZ, нашелся другой вирус (не записал его) и был удален. После перезагрузке вирус Trojan.PWS.Slaped не обнаруживался. Проверяю антивирусником все чисто, но при входе в интерент чтото-качается.
Помогите пожалуйста.
Последний раз редактировалось voron; 24.01.2009 в 12:48.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как написано в прил.2 правил ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7862Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\mysvcc.exe',''); QuarantineFile('C:\WINDOWS\System32\rpcc.dll',''); QuarantineFile('C:\Documents and Settings\User\2.exe',''); QuarantineFile('c:\windows\system32\srvc.exe',''); RebootWindows(true); end.
Высылаю файл
Выполните скрипт и вышлите содержимое карантина
Код:var i : integer; begin SetAVZGuardStatus(True); ClearQuarantine; RefreshProcessList; for i := 0 to GetProcessCount - 1 do begin AddToLog(IntToStr(GetProcessPID(i)) + ' '+ GetProcessName(i)); if pos('srvc.exe', LowerCase(GetProcessName(i))) > 0 then TerminateProcess(GetProcessPID(i)); end; QuarantineFile('c:\windows\system32\srvc.exe',''); DeleteFile('c:\windows\system32\mysvcc.exe'); ExecuteSysClean; RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc'); end.
Последний раз редактировалось Зайцев Олег; 09.02.2007 в 20:26.
Проверил на вирусы может быть поторопился, но нашел:
srvc.exe;c:\windows\system32;BackDoor.Mailbot;Удал ен.;
rpcc.dll;C:\WINDOWS\system32;Win32.HLLM.Bid;Удален .;
3.exe;C:\Documents and Settings\User;BackDoor.Mailbot;Удален.;
3[1].exe;C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\SLY3S9UR;BackDoor.Mailbot;Удален .;avz00001.dta;C:\avz4\Quarantine\2007-02-09;BackDoor.Mailbot;Удален.;
Скрипт от Geser-а выполнили? Если да, сделайте новые логи.
Скрипты сделал
Последний раз редактировалось voron; 24.01.2009 в 12:48.
Вроде как померло. Пофиксите:
Код:O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe O4 - HKLM\..\Run: [slack12] C:\Documents and Settings\User\2.exe O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe O4 - HKCU\..\Run: [slack12] C:\Documents and Settings\User\2.exe O20 - Winlogon Notify: rpcc - C:\WINDOWS\ O23 - Service: Win32 Task Manager (Win32Task) - Unknown owner - C:\WINDOWS\wintasks32.exe (file missing)
Больше "комп" вроде не скачивает профиксил по инструкции, что высылать не понял, если нужно?
ОГРОМОЕ СПАСИБО ВСЕМ ЗА ПОМОЩЬ
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mysvcc.exe - Backdoor.Win32.SdBot.awk (DrWEB: BackDoor.IRC.Sdbot.3045)
- c:\\windows\\system32\\srvc.exe - Backdoor.Win32.SdBot.beb (DrWEB: BackDoor.Mailbot)
Уважаемый(ая) voron, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
