Digitall Acess

**ddd7408** · 05.12.2009, 16:23

на днях пропал интернет, в процессе сканирования были удалены несколько троянов. Потом выскочило окошко с требованием отправить смс. Откатил время на месяц назад и в безопасном режиме удалил файл %SystemDir%system32/aekgoprn.dll. После этого инет появился. Вопрос: прибил гаденыша? или че осталось?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 05.12.2009, 16:32

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
 DeleteFile('C:\WINDOWS\aekgoprn.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=62542).
Исправьте системную дату.
Сделайте новые логи.

**ddd7408** · 05.12.2009, 16:42

Результат загрузки
Файл сохранён как 091205_164102_virus_4b1a62eebfc83.zip
Размер файла 766460
MD5 4ef451ea2c6a9686647738617c81dde9
Файл закачан, спасибо!

**Bratez** · 05.12.2009, 16:49

ОК. Ждем новые логи.

**ddd7408** · 05.12.2009, 16:56

новые логи

**ddd7408** · 05.12.2009, 17:07

и еше в авз вот такие сообшения были
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\52 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\53 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\54 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\55 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\56 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\665ff2.msi/{MS-OLE}/\57 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\51 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\52 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\53 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\54 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\55 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)
C:\WINDOWS\Installer\679254.msi/{MS-OLE}/\56 >>> подозрение на Trojan.Win32.Inject.akwm ( 0044084B 08CD8ABD 001C13F0 001FD6D9 40960)

**Bratez** · 05.12.2009, 17:25

В логах чисто.
Дату только поправьте.
На .msi часто бывают ложные подозрения, можно не беспокоиться.

**ddd7408** · 05.12.2009, 17:35

Спасибо

Добавлено через 7 минут

а не подскажете как вернуть значки сети в трей

**Bratez** · 05.12.2009, 17:37

Сообщение от ddd7408

а не подскажете как вернуть значки сети в трей

В свойствах подключения такая галка есть.
Попробуйте снять - Применить, потом поставить - Применить.

**ddd7408** · 05.12.2009, 17:38

не помогло(
и состояние соединения нету(

**CyberHelper** · 06.12.2009, 17:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\aekgoprn.sys - Trojan-Ransom.Win32.Agent.gz ( DrWEB: Trojan.Winlock.466, NOD32: Win32/Agent.QFM trojan )

Digitall Acess (заявка № 62542)

Опции темы

Digitall Acess

Итог лечения

Ваши права в разделе