Junior Member
Вес репутации
54
Как избавиться от заразы? (SpamTool.Agent.NAJ )
При подключении Интернета, антивирус (nod32) выдает сообщение об угрозе c:/windows/system32/drivers/protect.sys, троянская программа SpamTool.Agent.NAJ и что-то качается. Антивирус вроде пишет, что “очищен удалением - изолирован”, но все повторяется вновь и вновь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\antivirus\avz4\avz.exe','');
QuarantineFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\PA5CLHYO\lo[1].htm','');
QuarantineFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\2IPB22HG\mal[1].htm','');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\2IPB22HG\mal[1].htm');
DeleteFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\PA5CLHYO\lo[1].htm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. C:\WINDOWS\system32\Drivers\Ntfs.sys заменить по этой методике (не из dllcache )
4. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Попробовал установить Norton. При сканировании ничего не находит, после подключения к Интернету отлавливает BackDoor.Trojan В папке WINDOWS появляется file.bat содержащий “netsh firewall add allowedprogram "C:\WINDOWS\services.exe" services.exe ENABLE del %0”
Файл ntfs.sys изменяется в размере.
Вложения
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\system32\32.tmp');
QuarantineFile('C:\WINDOWS\inf\unregmp2.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\2B.tmp','');
DeleteFile('C:\WINDOWS\system32\2B.tmp');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы " над первым сообщением темы).
Повторите логи.
Junior Member
Вес репутации
54
Вложения
Код:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Выполните это .
Junior Member
Вес репутации
54
Dr.Web CureIt! помог. Спасибо. Практически все exe-шники были поражены Virut.56
ntfs.sys - инфицировался BackDoor
Полностью систему просканировали? Если да, то скачайте AVZ заново , распакуйте и делайте логи по правилам.
Junior Member
Вес репутации
54
Вложения
В логах ничего подозрительного. Жалобы есть?
Junior Member
Вес репутации
54
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
- Установите IE 8 .
Junior Member
Вес репутации
54
Это обязательно? Я кроме Оперы ничем не пользуюсь.
Вы не пользуетесь - система пользуется.
Junior Member
Вес репутации
54
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 51 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\maya\local settings\temporary internet files\content.ie5\pa5clhyo\lo[1].htm - Backdoor.Win32.HareBot.kr ( DrWEB: Trojan.DownLoad.40611, BitDefender: Trojan.Downloader.Kobcka.K, AVAST4: Win32:Kobcka-M [Trj] ) c:\documents and settings\maya\local settings\temporary internet files\content.ie5\2ipb22hg\mal[1].htm - Email-Worm.Win32.Mydoom.iw ( DrWEB: Trojan.Spambot.2424, BitDefender: Worm.Generic.83914, AVAST4: Win32:Preald-X [Drp] ) c:\windows\inf\unregmp2.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro ) c:\windows\services.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Spammer.Tedroo.BN, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro ) c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] ) c:\windows\system32\userinit.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro ) c:\windows\system32\2b.tmp - Backdoor.Win32.Wintu.ar ( DrWEB: Trojan.DownLoad.40155, AVAST4: Win32:Hupigon-LIE [Trj] )