Junior Member
Вес репутации
57
AVP при загрузке постоянно обнаруживает twext.exe
Добрый день!
Порядка мсяца назад заходил по работе не какой-то сайт после чего AVP зафиксировал вирусную атаку. Атака была блокирована, однако через некоторое время сразу после загрузки стал детектироваться вирус twext.exe. Сканирование системы AVP, drweb и AVZ обнаруживали и удаляли данный файл, однако после перезагрузки ситуация повторялась.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxs81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr43.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmm33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wings36.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Wings36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmm33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrr43.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxs81.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportAll;
BC_DeleteSvc('winxs81');
BC_DeleteSvc('winrr43');
BC_DeleteSvc('winmu60');
BC_DeleteSvc('winmm33');
BC_DeleteSvc('wings36');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30783
Повторите логи.
Junior Member
Вес репутации
57
Все выполнил. Заранее благодарен.
В карантин, к сожалению, никто не попал, так что ждём новых логов.
Junior Member
Вес репутации
57
НУжны логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log ? Или карантиновые?
Сообщение от
defkat
НУжны логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log ? ?
Да.
ПС: А что такое карантиновые логи ?
Junior Member
Вес репутации
57
Еще раз логи
НУ я думал те файлы что из карантина. Пардон
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('adiras.exe','');
QuarantineFile('C:\program files\internetcalls.com\internetcalls\internetcalls.exe','');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
DeleteService('sywtdxaz');
QuarantineFile('C:\WINDOWS\system32\drivers\ClipSrvCiSvc.sys','');
DeleteService('ClipSrvCiSvc');
DeleteFile('C:\WINDOWS\system32\drivers\ClipSrvCiSvc.sys');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\program files\internetcalls.com\internetcalls\internetcalls.exe');
DeleteFile('adiras.exe');
BC_ImportAll;
BC_DeleteSvc('ClipSrvCiSvc');
BC_DeleteSvc('sywtdxaz');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30783
Повторите логи.
Junior Member
Вес репутации
57
Шлю логи
Вложения
C:\Program Files\snoop - удалите приложение.
Сервис Пак 3 поставьте, возможно активация потребуется.
Junior Member
Вес репутации
57
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 21 В ходе лечения вредоносные программы в карантинах не обнаружены