Junior Member
Вес репутации
57
возможно Pacex.Gen
Добрый день,
нод стал выдавать сообщения о PSW.OnLineGames.NMY и Pacex.Gen
В корнях появилась куча скрытых файлов autorun.inf , *.bat и пр.
Вроде бы, следуя сообщениям форума, все это удалось вылечить.
Однако! в свойствах проводника попрежнему не возможно установить галку "Отображение скрытых файлов" и "Показывать системные файлы".
Следуя инструкциям приложила файлы.
Были удалены файлы
D:\WINDOWS\system32\ckvo.exe
D:\WINDOWS\system32\ckvo0.dll Win32/PSW.OnLineGames.NMP
D:\WINDOWS\SYSTEM32\CKVO1.DLL Win32/PSW.OnLineGames.NMP
D:\WINDOWS\SYSTEM32\AMVO0.DLL Win32/PSW.OnLineGames.NMP
D:\WINDOWS\system32\ckvo0.dll Win32/PSW.OnLineGames.NMP
D:\WINDOWS\system32\amvo0.dll Win32/PSW.OnLineGames.NMP
D:\Documents and Settings\ann\Local Settings\Temporary Internet Files\Content.IE5\T0SJDTCL\help[1].exe Win32/TrojanDropper.Agent.NJV
http://xaa88.com/fm4/help.exe Win32/TrojanDropper.Agent.NJV
http://xaa88.com/fm4/help.exe Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd313.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd311.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd310.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd307.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd306.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd304.tmp Win32/TrojanDropper.Agent.NOH
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd303.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd302.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd301.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd300.tmp Win32/TrojanDropper.Agent.NJV
D:\RECYCLER\S-1-5-21-606747145-1390067357-839522115-1003\Dd299.tmp Win32/TrojanDropper.Agent.NJV
D:\WINDOWS\SYSTEM32\CKVO1.DLL Win32/PSW.OnLineGames.ODP
C:\autorun.inf Win32/PSW.OnLineGames.ODP
H:\autorun.inf Win32/PSW.OnLineGames.ODP
F:\autorun.inf Win32/PSW.OnLineGames.ODP
E:\autorun.inf Win32/PSW.OnLineGames.ODP
D:\autorun.inf Win32/PSW.OnLineGames.ODP
C:\autorun.inf Win32/PSW.OnLineGames.ODP
подозрительны файлы
D:\WINDOWS\system32\Bitkv0.dll
D:\WINDOWS\system32\Bitkv1.dll
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ckvo.exe','');
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
QuarantineFile('D:\WINDOWS\system32\Bitkv0.dll ',' ');
QuarantineFile('D:\WINDOWS\system32\Bitkv1.dll ',' ');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
DeleteFile('D:\WINDOWS\system32\ckvo.exe');
DeleteFile('D:\WINDOWS\system32\Bitkv0.dll ');
DeleteFile('D:\WINDOWS\system32\Bitkv1.dll ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
Вложения
Последний раз редактировалось mazel; 09.10.2008 в 23:10 .
Причина: удаление virusinfo_cure.zip
virusinfo_cure.zip из темы уберите, в логах чисто...
Junior Member
Вес репутации
57
все сделала, как велели.. при попытке заархивировать файл, нод32 снова выдал сообщение о вирусе:
D:\WINDOWS\SYSTEM32\CKVO1.DLL Win32/PSW.OnLineGames.NMP
событие при попытке доступа к файлу приложением D:\Program Files\WinRAR\WinRAR.exe.
Это значит не помогло?((
Это значит, что при выполнении скриптов или иных прописанных хелпером действий по лечению антивирус надо отключать, чтобы не мешал. Конечно, кроме случая, когда прописано этим самым антивирусом просканироваться.
Junior Member
Вес репутации
57
Т.е. пролечиться еще раз с отключенным нодом? Спасибо за совет, попробую..
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
d:\\windows\\system32\\bitkv0.dll - Trojan-GameThief.Win32.OnLineGames.tnoy (DrWEB: Trojan.PWS.Gamania.13709) d:\\windows\\system32\\bitkv1.dll - Trojan-GameThief.Win32.OnLineGames.tnoy (DrWEB: Trojan.PWS.Gamania.13709)