-
Junior Member
- Вес репутации
- 53
подозрение на заражение SMSS.EXE
По неосторожности запустил файл SMSS.EXE с флешки, Касперский поместил его тут же в зону слабого ограничения, после того как я перенес его в зону полного ограничения все окна касперского кроме "Настройка" закрываются сразу же после открытия.
Другие симптомы:
При попытке зайти на сайты антивирусов, и форумы связанные с этим вопросом Браузер закрывается, программа HiJackThis так же закрывается с перезагрузкой explorer. Каспер выдает сообщение о том что SMSS.EXE постоянно пытается создать wmdrtc32.dll. Также заблокирован реестр.
Логи могу приложить только AVZ из-за причин изложенных выше
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\jalak-93927015-bali.com','');
QuarantineFile('D:\PROGRA~1\TEXTAL~1\TAForIE.dll','');
QuarantineFile('lhacm.acm','');
QuarantineFile('msdtcuiu.DLL','');
QuarantineFile('c_50232k.com','');
QuarantineFile('C:\WINDOWS\system32\schannel.dll','');
QuarantineFile('C:\WINDOWS\system32\s4827\zh59927084y.exe','');
QuarantineFile('C:\WINDOWS\system32\msvbvm60.dll','');
QuarantineFile('C:\WINDOWS\_default50232.pif','');
QuarantineFile('C:\WINDOWS\j6502322.exe','');
QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
QuarantineFile('C:\WINDOWS\System32\mswsock.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\dv692700x\yesbron.com','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
TerminateProcessByName('c:\windows\system32\s4827\winlogon.exe');
QuarantineFile('c:\windows\system32\s4827\winlogon.exe','');
TerminateProcessByName('c:\windows\system32\s4827\services.exe');
QuarantineFile('c:\windows\system32\s4827\services.exe','');
QuarantineFile('c:\windows\ad10218\qm4623.exe','');
TerminateProcessByName('c:\windows\system32\s4827\m4623.exe');
QuarantineFile('c:\windows\system32\s4827\m4623.exe','');
TerminateProcessByName('c:\windows\system32\s4827\lsass.exe');
QuarantineFile('c:\windows\system32\s4827\lsass.exe','');
TerminateProcessByName('c:\windows\system32\s4827\csrss.exe');
QuarantineFile('c:\windows\system32\s4827\csrss.exe','');
DeleteFile('c:\windows\system32\s4827\csrss.exe');
DeleteFile('c:\windows\system32\s4827\lsass.exe');
DeleteFile('c:\windows\system32\s4827\m4623.exe');
DeleteFile('c:\windows\ad10218\qm4623.exe');
DeleteFile('c:\windows\system32\s4827\services.exe');
DeleteFile('c:\windows\system32\s4827\winlogon.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\dv692700x\yesbron.com');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','f1464Adm');
DeleteFile('C:\WINDOWS\j6502322.exe');
DeleteFile('C:\WINDOWS\_default50232.pif');
DeleteFile('C:\WINDOWS\system32\s4827\zh59927084y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','f1464Adm');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\jalak-93927015-bali.com');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteRepair(17);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи (постарайтесь сделать все логи по правилам).
-