-
Junior Member
- Вес репутации
- 53
zonetech.info/61.exe + peerfrag.FD + hllw.lime.18
Доброе утро!
Вчера установил новую линию интернет (Киев, компания Билайн), и в первые же 5 минут пользования мой NOD32 обнаружил вирус hттp://____/61.exe . Из программ которые не запускались больше недели (и могли бы стать причиной заражения) могу вспомнить только u-torrent.
Соединение интернет работает 10-15 минут максимум. После этого обнаруживаются ошибки, которых на "старом" провайдере интернет никогда не было (использую этот компьютер около 2 месяцев, провайдера - около 10 месяцев). Ошибки включают Java Platform Error и ... еще одна, не вспомню формулировку, но аналогичная была с WinXP SP1-2 в ситуации когда вирус-червь блокирует доступ к интернет и единственным решением для "чайника" вроде меня было постоянно перегружать ПК. Надеюсь, логи прояснят ситуацию.
Последний раз редактировалось Numb; 27.11.2009 в 13:11.
Причина: активная ссылка на malware
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\mshost.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8380876432-8713626443-590945270-5257\sysdata.exe','');
QuarantineFile('C:\WINDOWS\system32\bgsvcgen.exe','');
QuarantineFile('C:\WINDOWS\system32\urwh.djo','');
DeleteFile('C:\WINDOWS\system32\urwh.djo');
DeleteFile('C:\RECYCLER\S-1-5-21-8380876432-8713626443-590945270-5257\sysdata.exe');
DeleteFile('C:\WINDOWS\mshost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61451
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Переделанные логи №1
Сообщение от
Aleksandra
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\mshost.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8380876432-8713626443-590945270-5257\sysdata.exe','');
QuarantineFile('C:\WINDOWS\system32\bgsvcgen.exe','');
QuarantineFile('C:\WINDOWS\system32\urwh.djo','');
DeleteFile('C:\WINDOWS\system32\urwh.djo');
DeleteFile('C:\RECYCLER\S-1-5-21-8380876432-8713626443-590945270-5257\sysdata.exe');
DeleteFile('C:\WINDOWS\mshost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку
http://virusinfo.info/upload_virus.php?tid=61451
3. Повторите логи.
Первый лог сделан при выключенном NOD32, второй и третий (которые после перезагрузки, при включенном интернете) - при включенном. Если нужно все три делать при выключенном - дайте знать, переделаю.
Спасибо!
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Запрошенный Анти-Малваре лог
Сделан, опять же, при включенном НОД32.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\ms.exe','');
DeleteFile('C:\WINDOWS\system32\ms.exe');
DeleteFile('C:\WINDOWS\mshost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=61451
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Переделанные логи №2
Восстановление системы и антивирус отключены для всех трех логов.
-
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\mshost.exe - Trojan.Win32.Buzus.cqrb ( DrWEB: Trojan.Inject.7431, BitDefender: Trojan.Generic.2800594, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\ms.exe - Trojan.Win32.Buzus.cqrb ( DrWEB: Trojan.Inject.7431, BitDefender: Trojan.Generic.2800594, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\urwh.djo - Trojan.Win32.Agent.dcvk
-