Как избавиться от заразы? (SpamTool.Agent.NAJ )
При подключении Интернета, антивирус (nod32) выдает сообщение об угрозе c:/windows/system32/drivers/protect.sys, троянская программа SpamTool.Agent.NAJ и что-то качается. Антивирус вроде пишет, что “очищен удалением - изолирован”, но все повторяется вновь и вновь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('d:\antivirus\avz4\avz.exe',''); QuarantineFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\PA5CLHYO\lo[1].htm',''); QuarantineFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\2IPB22HG\mal[1].htm',''); DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}'); QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll',''); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); DeleteService('protect'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('c:\windows\services.exe',''); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll'); DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll'); DeleteFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\2IPB22HG\mal[1].htm'); DeleteFile('C:\Documents and Settings\Maya\Local Settings\Temporary Internet Files\Content.IE5\PA5CLHYO\lo[1].htm'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. C:\WINDOWS\system32\Drivers\Ntfs.sys заменить по этой методике (не из dllcache)
4. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Попробовал установить Norton. При сканировании ничего не находит, после подключения к Интернету отлавливает BackDoor.Trojan В папке WINDOWS появляется file.bat содержащий “netsh firewall add allowedprogram "C:\WINDOWS\services.exe" services.exe ENABLE del %0”
Файл ntfs.sys изменяется в размере.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\system32\32.tmp'); QuarantineFile('C:\WINDOWS\inf\unregmp2.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\2B.tmp',''); DeleteFile('C:\WINDOWS\system32\2B.tmp'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
Сидит...зараза.
Выполните это.Код:>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Dr.Web CureIt! помог. Спасибо. Практически все exe-шники были поражены Virut.56
ntfs.sys - инфицировался BackDoor
Полностью, все диски.
В логах ничего подозрительного. Жалобы есть?
Жалоб нет. Спасибо.
- Установите IE 8.MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Это обязательно? Я кроме Оперы ничем не пользуюсь.
Вы не пользуетесь - система пользуется.
Ок.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\maya\local settings\temporary internet files\content.ie5\pa5clhyo\lo[1].htm - Backdoor.Win32.HareBot.kr ( DrWEB: Trojan.DownLoad.40611, BitDefender: Trojan.Downloader.Kobcka.K, AVAST4: Win32:Kobcka-M [Trj] )
- c:\documents and settings\maya\local settings\temporary internet files\content.ie5\2ipb22hg\mal[1].htm - Email-Worm.Win32.Mydoom.iw ( DrWEB: Trojan.Spambot.2424, BitDefender: Worm.Generic.83914, AVAST4: Win32:Preald-X [Drp] )
- c:\windows\inf\unregmp2.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
- c:\windows\services.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Spammer.Tedroo.BN, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
- c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] )
- c:\windows\system32\userinit.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
- c:\windows\system32\2b.tmp - Backdoor.Win32.Wintu.ar ( DrWEB: Trojan.DownLoad.40155, AVAST4: Win32:Hupigon-LIE [Trj] )
Уважаемый(ая) salvador, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
