-
Junior Member
- Вес репутации
- 52
Зараженный WinXP
Здравствуйте.
Заражен winXP. Компьютер рабочий, очень нужен для составления бух. отчета.
На данный момент выполнены:
1. Полная проверка в безопасном режиме с помощью AVPTool.
2. AVZ: "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
3. AVZ: "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".
4. HijackThis: сканирование системы.
PS:
-установленный антивирус AVAST FREE Antivirus.
-существует только одна учетная запись, поэтому сканирование производилось из под неё.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск F:\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\ctfms.exe');
TerminateProcessByName('c:\windows\csrsm.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\ctfms.exe','');
QuarantineFile('c:\windows\csrsm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('c:\windows\csrsm.exe');
DeleteFile('c:\windows\system32\ctfms.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfms');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wors');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
А ещё сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
Новые логи. mbam еще сканирует.
PS: во время сканирования mbam, аваст тоже реагировал на зараженные фаилы (zpp[1].exe, autorun.inf и assetup.exe), помещая их в карантин.
Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)
Последний раз редактировалось biatob; 20.03.2011 в 13:23.
Windows 7 Ultimate
-
Сообщение от
biatob
Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)
Дольше. Ждем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Во время сканировния МБАМ-ом к компьютеру была подключена еще одна флешка (необходимость).
-
Junior Member
- Вес репутации
- 52
Отчет мбам-а.
Возможно будет полезным:
-время сканирования АВПТул - 13+ часов, время сканирования мбам - пара часов.
-на подключенную флешку ничего плохого (вроде) не добавилось.
-пропала языковая панель (язык не меняется).
-что делать с найдеными мбамом объектами? Все удалить?
Последний раз редактировалось biatob; 20.03.2011 в 15:58.
Windows 7 Ultimate
-
Сообщение от
biatob
-что делать с найдеными мбамом объектами? Все удалить?
Сейчас узнаете.
Удалите в MBAM только указанные строки:
Код:
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\asetup.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\zs\local settings\temporary internet files\content.ie5\usbzdhqa\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\temp\csm8e3.tmp (Adware.RelevantKnowledge) -> No action taken.
c:\temp\csm9a0.tmp (Adware.RelevantKnowledge) -> No action taken.
f:\recycler\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Trojan.Downloader) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
После удаления всех найденых мбамом объектов и перезагрузки ПК:
-ошибок после подключения к инету нет.
-языковая панель включилась, раскладка меняется.
-прочих признаков заражения не вижу.
Жду анализа логов.
Добавлено через 9 минут
Хорошо, сейчас сделаю...ой как же я поторопился. ((
Я уже удалил все найденные объекты =( Что делать? Снова делать полное сканировование?
PS: если выложу логи сегодня, проанализируете? или можно спокойно домой идти, а завтра продолжим? (сейчас 19 часов)
Последний раз редактировалось biatob; 20.03.2011 в 17:15.
Причина: Добавлено
Windows 7 Ultimate
-
Что с проблемой?
Установите:
-Internet Explorer 8
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Сообщение от
biatob
что значит удалить в мбам следующие строки?
Нужно запустить полное сканирование MBAM и по окончанию сканирования удалить только те объекты, которые указаны в рамочке.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Backdoor.Win32.Floder.at ( DrWEB: Win32.HLLW.Autoruner.55687, BitDefender: Trojan.Generic.KD.161363, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\csrsm.exe - Backdoor.Win32.Kbot.bap ( DrWEB: BackDoor.Siggen.28466, BitDefender: Backdoor.Generic.620305, AVAST4: Win32:Malware-gen )
-