-
Junior Member
- Вес репутации
- 53
FileDownloader 47257!
В пятницу поймал вирус DrWeb определил его как FileDownloader 47257.
после чего стал выскакивать баннер с требованием заплатить сеть стала недоступной.
почитав в инете про этот вирус переставил дату назад. Это помогло мне обновить антивирь и скачать AVZ. Затем проверил комъютер на вирусы в SafeMode DrWeb нашел и пристрелил следующее
qtyojwn.bat Trojan.DownLoad.55132
winsrv.exe Trojan.PWS.Banker.37238
av_md.exe Trojan.Inject.7722
load(1).exe Trojan.MulDrop.52386
siszyd32.exe Trojan.MulDrop.52386
DC1.TMP Trojan.Inject.7722
DC7.SYS Trojan.DownLoad.47257
затем проверил систему AVZ-ом с новыми базами.
Система отправила два файла в карантин. Вероятнее всего ошибочно это файлы леценизионных компиляторов.
Высылаю Вам логи которые собрал по Вашим правилам. Надеюсь на помощь. Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено
Отключить, перезагрузить ПК!
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\emlcpusb.sys','');
DeleteService('emlcpusb');
QuarantineFile('C:\WINDOWS\system32\drivers\rjzrnnvv.sys','');
DeleteService('rjzrnnvv');
QuarantineFile('C:\WINDOWS\system32\drivers\rnrwrvqn.sys','');
DeleteService('rnrwrvqn');
QuarantineFile('C:\WINDOWS\system32\Drivers\WmUsbIce.sys','');
QuarantineFile('C:\Documents and Settings\kosenko\av_md.exe','');
QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\vqodeagi.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\av_md.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
DeleteFile('C:\Documents and Settings\kosenko\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
DeleteFile('C:\WINDOWS\system32\drivers\rnrwrvqn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rjzrnnvv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\emlcpusb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Сылка по которой прислать крантин не доступна.(Не активна)
Что делать с теми фацлами кторые были перемещены в карантин? Те что я писал выше? CSpay.bat из IAR и еще какой-то из VisualDSP 4.5
-
Сообщение от
reserv70
Сылка по которой прислать крантин не доступна.(Не активна)
Пробуйте снова.
Сообщение от
shapel
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Логи где?
-
-
Junior Member
- Вес репутации
- 53
ПРостите бестолкового..
какрантин вышлю завтра с утра.
насколько я понял ядолжен сделать следующее
1) выполнить скрипты в указанном порядке
2)затем прислать карантин.
Или после скриптов еще раз создать логи как описанно в "Правилах..." и прислать из Вам?
-
Надо просто выполнить все в том порядке, как написал хэлпер.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Все что написано выполнил. Карантин выслал!
Зарание спасибо!
-
Сообщение от
shapel
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
??
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vqodeagi.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\LEGGOJHP.exe','');
DeleteFile('C:\WINDOWS\LEGGOJHP.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\vqodeagi.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63829).
Установите правильную системную дату.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения вредоносные программы в карантинах не обнаружены
-