После лечения windows security center сообщает о заражении
Вчера секретарша посадила трояна из интернета.
Предположительно с сайта atomakayan.biz, в кэше прокси остались 3 exe, причем один из них находится в windows/system32, антивирусы на них не реагируют.
Провел лечение при помощи AVZ, несколько тороянов было удалено, но все равно выходят сообщения от windows security report о том, что система заражена win32.Banker.FR, Trojan.SpyAgent.DA
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Adtool2.dll',''); QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp',''); QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll',''); DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll'); DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp'); DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Adtool2.dll'); DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.Загрузите карантин согласно приложению №3 правил.Код:O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing) O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Этого не оказалось, наверное, уже удалил.Сообщение от Maxim
AVZ находит еще что-то.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: HelloWorldBHO - {02A60A63-4C18-4D14-A95F-28F57E533296} - C:\WINDOWS\System32\drivers\Adtool2.dll (file missing) O2 - BHO: DirectPluginX Class - {37FF719A-A736-4FAB-8CBF-7B905277648D} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll (file missing)
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Qgbx46', 'Start'); BC_QrFile('C:\WINDOWS\System32\drivers\Qgbx46.sys'); BC_DeleteSvc('Qgbx46'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Qgbx46.sys'); BC_Activate; ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Сделайте новый лог syscheck.
I am not young enough to know everything...
Похоже, что теперь все чисто.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
на всякий случай C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...
Высылаю.
Я сегодня отослал несколько файлов (в т.ч. и его) на drweb, пришло сообщение: "Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу. Вирус: Trojan.MulDrop.6474."
Так что антивирусам он уже известен.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Повторите лог virusinfo_syscheck.zip
Сделано
Где лог?
С утра не проснулся еще
Исправляюсь.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах всё нормально.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\ie6.tmp - Trojan-Downloader.Win32.Mutant.c (DrWEB: Trojan.MulDrop.11897)
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\~util32.dl l - not-a-virus:AdWare.Win32.Agent.ahn (DrWEB: Trojan.Click.17381)
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\wndutl32.d ll - Hoax.Win32.Renos.ays (DrWEB: Trojan.Fakealert.447)
- c:\\windows\\system32\\drivers\\adtool2.dll - Trojan-Downloader.Win32.BHO.de (DrWEB: Trojan.DownLoader.55674)
- \\userinit.exe - Worm.Win32.Gadja.f (DrWEB: Trojan.DownLoader.49226)
Уважаемый(ая) KonstS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
