Добрый день! Подхватил вирусы. После сканирования NOD32 нашло 3 трояна. Система переодически выдает warning!Potential Spyware Operation! И при входе в настройку системы - права закрыты администратором. При перезагрузке в эксплорере посоянно устанавливается стартовой google. Логи прилагаются. Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обратите внимание, одна строчка - сервис, фиксится через отдельное меню
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\app.exe','');
QuarantineFile('C:\windows\system32\winload','');
QuarantineFile('C:\WINNT\winptr.exe','');
QuarantineFile('C:\WINNT\system32\sulimo.dat','');
QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
QuarantineFile('C:\WINNT\system32\KB_963491.exe','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe','');
QuarantineFile('C:\WINNT\system32\printer.exe','');
QuarantineFile('c:\winnt\system32\printer.exe','');
DeleteFile('c:\winnt\system32\printer.exe');
BC_DeleteFile('c:\winnt\system32\printer.exe');
DeleteFile('C:\WINNT\system32\printer.exe');
BC_DeleteFile('C:\WINNT\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
BC_DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINNT\Temp\startdrv.exe');
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\WINNT\system32\KB_963491.exe');
BC_DeleteFile('C:\WINNT\system32\KB_963491.exe');
DeleteFile('C:\WINNT\system32\WinAvXX.exe');
BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
DeleteFile('C:\WINNT\system32\sulimo.dat');
BC_DeleteFile('C:\WINNT\system32\sulimo.dat');
DeleteFile('C:\WINNT\winptr.exe');
BC_DeleteFile('C:\WINNT\winptr.exe');
DeleteFile('C:\windows\system32\winload');
BC_DeleteFile('C:\windows\system32\winload');
DeleteFile('C:\WINNT\app.exe');
BC_DeleteFile('C:\WINNT\app.exe');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13320 , как написано в прил. 3 правил, и сделайте новые логи, начиная с п. 10 правил.
В дополнение, по результатам проверки на Virustotal:
C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
(по классификации Касперского)
C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb). В дополнение к тому, что написал Павел, выполните еще один скрипт:
В дополнение, по результатам проверки на Virustotal:
C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
(по классификации Касперского)
C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb). В дополнение к тому, что написал Павел, выполните еще один скрипт:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: