Симптомы: Загружается из интернета, как только устанавливается подключение. В то же мгновение он появляется в Списке процессов Диспетчера задач. И буквально сразу же исчезает.
В это же время создается файл в c:\windows\system32\drivers\
с абсолютно произвольными именами с расширением sys. Например winah53.sys или Winuc75.sys. После этого начинается рассылка спама с моего компа.
При проверке утилитой от ДР.Веба находит троян и удаляет его, после перезагрузки он вновь появляется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
обнаружил C:\WINDOWS\System32\Drivers\Winbc81.sys скопировал, в карантин он не добавляется пишет "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Winbc81.sys)
Карантин с использованием прямого чтения - ошибка". Вообщем выслал все что есть в карантине и свежие логи прикрепил.
не удалил ... удалите через свойства обозревателя ...
отключите антивирус ...!!!
в IceSword удалите C:\WINDOWS\system32\Drivers\Winqp65.sys
выполните скрипт ...
Удалял через св-ва обозревателя и программой в прошлый раз...
Сейчас удалил через св-ва обозревателя...
в IceSword удалил...скрипт выполнил...антивурус отключил
логи повторил по правилам
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: