Все стандартно (как в соседних темах): Обнаружены Win32.Banker.FS и Trojan.SpyAgent.Da.
Сообщения о том, что система заражена. Красный кружок с крестиком в трее, при клике на него открывается страничка поиска спайваре детект в гугле.
Еще и окошко System Crashed появляется регулярно. Все о том же. Обнаружено спайваре - все очень плохо...
Еще регулярно появляется окошко Windows security center (несмотря на то, что восстановление системы отключил как было написано) "Обнаружены изменения системных файлов и реестра. Рекомендовано запустить guard scanner" (Что такое guard scanner я не знаю).
Диспетчер задач и регедит заблокированы (я их не блокировал).
Скачал все что требуется в правилах, сделал логи, прикрепляю.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Программу http://www.tksinc.us/downloads/WinsockXPFix.exe нужно скачать заранее так-как после скрипта интернет может не работать, запишите настройки интернет возможно их придется вводить заново ...
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svzip.exe','');
QuarantineFile('C:\WINDOWS\sv.exe','');
QuarantineFile('C:\WINDOWS\runsql.exe','');
QuarantineFile('C:\WINDOWS\svhoster.exe','');
QuarantineFile('C:\Documents and Settings\Office\Local Settings\Temp\teste4_p.exe','');
QuarantineFile('C:\Documents and Settings\Office\Local Settings\Temp\teste3_p.exe','');
QuarantineFile('C:\Documents and Settings\Office\Local Settings\Temp\teste2_p.exe','');
QuarantineFile('C:\Documents and Settings\Office\Local Settings\Temp\teste1_p.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\DOCUME~1\Office\LOCALS~1\Temp\wndutl32.dll','');
QuarantineFile('c:\documents and settings\localservice\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\localservice\local settings\application data\cftmon.exe');
DeleteFile('C:\DOCUME~1\Office\LOCALS~1\Temp\wndutl32.dll');
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Office\Local Settings\Temp\teste1_p.exe');
DeleteFile('C:\Documents and Settings\Office\Local Settings\Temp\teste2_p.exe');
DeleteFile('C:\Documents and Settings\Office\Local Settings\Temp\teste3_p.exe');
DeleteFile('C:\Documents and Settings\Office\Local Settings\Temp\teste4_p.exe');
DeleteFile('C:\WINDOWS\svhoster.exe');
DeleteFile('C:\WINDOWS\runsql.exe');
DeleteFile('C:\WINDOWS\sv.exe');
DeleteFile('C:\WINDOWS\svzip.exe');
BC_ImportDeletedList;
ExecuteSysClean;
AutoFixSPI;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Да E - флешка, на ней периодически появляется вирус autorun (видимо цепляю с не очень защищенных компов). Но нод32 успешно его удаляет.
На текущем компе просто отрубил нод на время выполнения скриптов и вот...
После выполнения скрипта все заработало!
Огромное спасибо за помощь и буквально молниеносное реагирование!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: