Запустил на компе скачанный из нета ненужный файл. Теперь:
В диспетчере задач висит системный процесс 2801479846:1506739289.exe. Ничем не убьешь, даже с правами системы.
В папке C:\Windows\ пустой файл 2801479846
Cureit в процессе сканирования закрывается в обычном режиме. В safe mode сканирует и находит BackDoor.Siggen, но после перезагрузки всё возвращается обратно.
Тулза от Касперского вообще не может запуститься.
В AVZ отработал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и создался лог. Скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" начинает работать и закрывается вся программа.
HijackThis при нажатии на кнопку "Do a system scan and save a logfile" также закрывается.
Поэтому могу пока выложить только лог virusinfo_syscure.zip.
Что сделать дальше? Подскажите.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения Вашего скрипта и перезагрузки файл 2801479846:1506739289.exe исчез из диспетчера задач. но после второй перезагрузки опять появился.
Лог скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" опять не могу прислать, потому что AVZ закрывается при его выполнении. С логами HijackThis таже ситуация.
Ситуация щас такая, что файл исчез, я не могу получить адрес на DHCP
Журнал выполнения скрипта на AVZ в безопасном режиме:
>>>> Подозрение на маскировку файла процесса: c:\windows\2801479846:1506739289.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
Файл успешно помещен в карантин (c:\windows\2801479846:1506739289.exe:$DATA)
Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
Удаление файла:c:\windows\2801479846:1506739289.exe
Удаление файла:c:\windows\2801479846:1506739289.exe:$DATA
>>>Для удаления файла c:\windows\2801479846:1506739289.exe:$DATA необходима перезагрузка
Удаление файла:C:\WINDOWS\system32\oxyedpsp.dll
Автоматическая чистка следов удаленных в ходе лечения программ
После выполнения скриптов "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" карантин был пустым.
Сейчас сижу без интернета, потому что не могу подключиться к проксе, хотя сетевые диски видны.
Всем спасибо.
To thyrex: Да, по симптомам это скорее всего MAX++ (он же ZeroAccess).
Проблему решил переустановкой системы (просто надо было быстрее, так как комп рабочий)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: