-
Junior Member
- Вес репутации
- 43
Угроза в памяти winlogon.exe [Trojan.Win32.Jorik.Lethic.aio, Trojan-Dropper.MSIL.Mudrop.gj
]
Здравствуйте!
При запуске системы, нод32 выдает сообщение:
Обнаружена угроза в памяти!
Объект: оперативная память = winlogon.exe
Угроза: модифицированный Win32/Dorkbot.B червь
очистка невозможна
Делал проверку nod32 и Dr.WebCureIt!, не помогло.
Буду признателен за помощь.
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Evil_0ne, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Evil_0ne\fuwin3.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsv.exe','');
QuarantineFile('C:\Documents and Settings\Evil_0ne\Application Data\Amouou.scr','');
DeleteFile('C:\Documents and Settings\Evil_0ne\Application Data\Amouou.scr');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsv.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\Documents and Settings\Evil_0ne\fuwin3.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
+ Отчёт программы RSIT.
-
-
Junior Member
- Вес репутации
- 43
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\evil_0ne\kbwmdr.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Evil_0ne\kbwmdr.exe','');
QuarantineFile('C:\Documents and Settings\Evil_0ne\Application Data\97C.exe','');
DeleteFile('C:\Documents and Settings\Evil_0ne\Application Data\97C.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
DeleteFile('C:\Documents and Settings\Evil_0ne\kbwmdr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine_2.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
-
-
Junior Member
- Вес репутации
- 43
-
Больше ничего подозрительного нет. Проблема решена?
-
-
Junior Member
- Вес репутации
- 43
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\evil_0ne\\application data\\amouou.scr - Backdoor.Win32.SdBot.zgv
- c:\\documents and settings\\evil_0ne\\fuwin3.exe - Backdoor.Win32.SdBot.zgv
- c:\\documents and settings\\evil_0ne\\kbwmdr.exe - Trojan-Dropper.MSIL.Mudrop.gj ( DrWEB: Trojan.Packed.23047, BitDefender: Gen:Variant.Kazy.87946 )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\hostsv.exe - Backdoor.Win32.SdBot.zgv ( BitDefender: Gen:Variant.Kazy.88387 )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Jorik.Lethic.aio ( DrWEB: BackDoor.Siggen.637 )
- c:\\windows\\system32\\68.exe - Backdoor.Win32.SdBot.zgv ( BitDefender: Gen:Variant.Kazy.88387 )
-