-
Junior Member
- Вес репутации
- 53
Пожалуйста, проверьте (File Downloader)
Поймал вот такого вируса:
http://virusinfo.info/showpost.php?p...4&postcount=26
Лог авиры вложил в архив.
Восстановил atapi.sys
Лечился по вашим рекомендациям с помощью get2, после первого лечения (видно из лога авиры) снова появился вирус. Повторно пролечил get2 и скриптами для AVZ по аналогии, как предлагалось в аналогичном мне случае, удалил все подозрительное, почистил реестр. Очень хотелось бы убедиться, что все чисто
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Логи Gmer и MBAM
MBAM полностью прогнал ночью все диски. Gmer работает с утра, очень медленно сканирует (файлов и программ очень много), пока скидываю то что он нашел, но ему ещё очень долго сканировать, если это необходимо, я подожду.
-
Проверим некоторые файлы, выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exel','');
QuarantineFile('C:\System Volume Information\_restore{D58AD07C-0745-4FB0-AFA5-FA58FE281C74}\RP731\A0426809.exe','');
QuarantineFile('D:\install\VCL\regexpr\Demos\SelfTest\TestRegExpr.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Последний раз редактировалось Шапельский Александр; 15.12.2009 в 13:22.
-
-
Junior Member
- Вес репутации
- 53
Карантин закачал, скрипт вначале не запускался из-за нестандартной кавычки на пятой строке, я заменил ее на обычную, далее при выполнении были какие-то сообщения красным, но я не успел прочесть из-за перезагрузки.
-
Один в карантин не попал, остальные чистые. Попробуем еще раз.
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Последний раз редактировалось Шапельский Александр; 15.12.2009 в 13:51.
-
-
Junior Member
- Вес репутации
- 53
Не удалось, карантин пустой. Успел прочесть, что-то ошибка прямого чтения...
Добавлено через 1 минуту
Давайте все подозрительное удалим Тем более я не знаю что это за "ad on ebay"
Последний раз редактировалось picasso; 15.12.2009 в 13:40.
Причина: Добавлено
-
Последний раз редактировалось Шапельский Александр; 15.12.2009 в 13:53.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Я нашел причину, расширение файла не exel, а exe, по этому его не находит, после поиска добавил в карантин.
Добавлено через 2 минуты
а безопасно ли будет для системы удалить тот подозрительный файл (на всякий случай) из _restore?
Последний раз редактировалось picasso; 15.12.2009 в 13:52.
Причина: Добавлено
-
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Добавлено через 2 минуты
Сообщение от
picasso
а безопасно ли будет для системы удалить тот подозрительный файл (на всякий случай) из _restore?
Я уже писал, тот файл - чистый, поэтому удалять не надо. Сейчас проверим eBayShortcuts.exe
Последний раз редактировалось Шапельский Александр; 15.12.2009 в 13:55.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
-
Файл чистый, но
Рейтинг подозрительности поведения =
70 процентов (Интернет)
Если Вам он не нужен, лучше удалить. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
Вот что в логах есть:
Источник (sr):
Произошла неожиданная ошибка фильтра восстановления системы '0xC0000243' при обработке файла 'vdmymjk3.sys' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе.
-
Сделайте комплект логов (АВЗ, Hijack, Gmer)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-