-
Junior Member
- Вес репутации
- 53
Herss.exe; cdoosoft не знаю что за зараза такая, но достала конкретно!
Здравствуйте! Помогите с этим зверем..
Не работает просмотр скрытых файлов(нет реакции на установленных птиц), скрипты и файлы реестра скачивал устанавливал - не помогло.
Avast время от времени выдаёт:
найден файл подозрение на rootkit-gen, файл в корне диска C:
Рекомендуемое действие: игнорировать(!?)
Запуск avast antirootkit обнаружил кучу всего, кроме этого herss.exe
Сканировал в общей сложности 4-5 разными утилитами,( Cure-it и им подобным) эффекта 0!
Очень надеюсь на вашу помощь! Спасибо!
Последний раз редактировалось Dejmos; 11.05.2010 в 11:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\f9o8o.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\cvasds0.dll','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\cvasds0.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\herss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\f9o8o.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\f9o8o.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Новые логи, и карантин как просили! Спасибо!
Извиняюсь если что-то не очень по правилам сделал..
Зверёк пропал, но просмотр скрытых файлов(нет реакции на установленных птиц) не работает по прежнему, разберусь..
Простите а что это за зверь такой противный??? И почему его никто не видел(cure-it например)???
Огромное спасибо за помощь! Вы молодец! Браво!
Последний раз редактировалось Dejmos; 11.05.2010 в 11:04.
-
cvasds0.dll - Trojan-GameThief.Win32.Magania.cfos (DrWeb - Trojan.PWS.Wsgame.13208)
herss.exe, f9o8o.exe - Trojan-GameThief.Win32.Magania.cfot (DrWeb - Trojan.PWS.Wsgame.12661)
virusinfo_cure.zip из вложений удалите
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что с показом скрытых файлов?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
После выполнения Вашего скрипта всё по прежнему..
Файлы не показываются..
Помимо скрипта пробовал:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
“NoFolderOptions”=-
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions]
“NoBrowserOptions”=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“CheckedValue”=dword:00000001
Не помогло..
Что интересно: заражённая флешка побывала и Windows 7, всё чисто..
Последний раз редактировалось Dejmos; 08.10.2009 в 23:28.
-
Проверьте в реестре в ветке
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо ОГРОМНОЕ, Вы просто чудо! Спасибо Доктор!!!
Добавлено через 10 часов 11 минут
Работает как-то странно- если выставляешь в реестре, то работает.
А если меняешь в свойствах папки, то обратно не поставить..
Последний раз редактировалось Dejmos; 09.10.2009 в 09:59.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\user\locals~1\temp\cvasds0.dll - Trojan-GameThief.Win32.Magania.cfos ( DrWEB: Trojan.PWS.Wsgame.13208, BitDefender: Trojan.Generic.2507207, AVAST4: Win32:Malware-gen )
- c:\docume~1\user\locals~1\temp\herss.exe - Trojan-GameThief.Win32.Magania.cfot ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.Generic.2507205, AVAST4: Win32:OnLineGames-FNW [Trj] )
- c:\f9o8o.exe - Trojan-GameThief.Win32.Magania.cfot ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.Generic.2507205, AVAST4: Win32:OnLineGames-FNW [Trj] )
- f:\f9o8o.exe - Trojan-GameThief.Win32.Magania.cfot ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.Generic.2507205, AVAST4: Win32:OnLineGames-FNW [Trj] )
-