-
Junior Member
- Вес репутации
- 53
вирус eKAV Antivirus
Здраствуйте!
Недавно подцепил вирус eKAV Antivirus(смс вымогатель) долго мучался не мог от него избавится по началу ни AVZ ни HiJack не запускались и труки с переименованием их тоже не работал ни один
анитивирус при сканировании ничего не обнаружил (DRweb LiveCD,KAV Rescue,cureIT,AVPtool ) убил я его с помощю утилиты Taskinfo
при запуске любой программы также запускалась и Rundll32.exe
(при этом с ключом C:\WINDOWS\Cursors\pen_rm.cur:GhtTEv1eR8jrrEjV2TWs )
я поудалял все файлы что показались мне странными подозрительными при запуске rundll32.exe после чего перезагрузил комп и Банер исчез
но у меня сомнения у бил ли я его до конца(работоспособность с помощью AVZ я полностью востановил)
Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Attention !!! Database was last updated 21.08.2009 it is necessary to update the database (via File - Database update)
Обновите базы AVZ и переделайте логи!
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Вот новые логи.
И в списке служб появилось две новые службы мне не известные
Security Task - "uudjeo"
Security Universal - "rjyexedqz"
и при этом они не отключаются и не удаляются
я конечно могу выполнить команду sc delete Security Task
но безопасно ли это?
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteService('zputczvl');
DeleteService('znthtgi');
DeleteService('znkhf');
DeleteService('znanrmmma');
DeleteService('zhcig');
DeleteService('zgpaab');
DeleteService('zastohs');
DeleteService('xpsnapnpr');
DeleteService('xownybxs');
DeleteService('xounp');
DeleteService('xhcuxrxy');
DeleteService('xankm');
DeleteService('wxziuyi');
DeleteService('wtglkujtf');
DeleteService('wqbjim');
DeleteService('wpvheti');
DeleteService('wprxz');
DeleteService('wpfxd');
DeleteService('wjhrywz');
DeleteService('wanzk');
DeleteService('vzlimzs');
DeleteService('vwvcsped');
DeleteService('vwpbl');
DeleteService('vwndxzp');
DeleteService('vejeyo');
DeleteService('vdtbcu');
DeleteService('vdszoqmde');
DeleteService('usgiagbi');
DeleteService('uowrjkhtd');
DeleteService('unggso');
DeleteService('ulowie');
DeleteService('uiqjozog');
DeleteService('ttibz');
DeleteService('tpmcsyty');
DeleteService('tkqdrdfdk');
DeleteService('tahdxr');
DeleteService('sxxlmrmki');
DeleteService('swmvmu');
DeleteService('stpjdzn');
DeleteService('stnvn');
DeleteService('sslfp');
DeleteService('sqism');
DeleteService('shqnucigt');
DeleteService('rsnthgtkn');
DeleteService('rnyfpus');
DeleteService('rmxxh');
DeleteService('qvfrjfnx');
DeleteService('qqzbzfuv');
DeleteService('qlvvywj');
DeleteService('qhoqtyvq');
DeleteService('qdeuelz');
DeleteService('pvjhxe');
DeleteService('pkxmkuq');
DeleteService('pjnxp');
DeleteService('mupza');
DeleteService('ngoqrum');
DeleteService('nhgstz');
DeleteService('nhrkh');
DeleteService('ntgnhxxwy');
DeleteService('nuqzbbilt');
DeleteService('nzcumpiu');
DeleteService('nzwkcehy');
DeleteService('oimcp');
DeleteService('onpww');
DeleteService('onrkmpopb');
DeleteService('oqmrexfaq');
DeleteService('oqmzlcn');
DeleteService('panvax');
DeleteService('pdqneob');
DeleteService('mlkbbyidb');
DeleteService('mhezj');
DeleteService('mgtkqzpl');
DeleteService('lzftztyq');
DeleteService('lwfnb');
DeleteService('lsvqigbf');
DeleteService('lmxjo');
DeleteService('llmdamaj');
DeleteService('ljdhpx');
DeleteService('lgerxfes');
DeleteService('lgcwfcdk');
DeleteService('lfqulmb');
DeleteService('lamnghh');
DeleteService('kyoidt');
DeleteService('kqvuykug');
DeleteService('kplwls');
DeleteService('kmkti');
DeleteService('khtmcndf');
DeleteService('kgeltl');
DeleteService('kdzfiypb');
DeleteService('jvmavixj');
DeleteService('jutsafg');
DeleteService('jrrfchnso');
DeleteService('jnqme');
DeleteService('jlwocr');
DeleteService('jgitq');
DeleteService('jdqlak');
DeleteService('jbojda');
DeleteService('iutoaaa');
DeleteService('ikigybhh');
DeleteService('idjqtpuj');
DeleteService('hzwnijx');
DeleteService('hziifjh');
DeleteService('huugwchwz');
DeleteService('hsfnw');
DeleteService('hsdob');
DeleteService('hnlzfot');
DeleteService('hkggzu');
DeleteService('hglunqg');
DeleteService('goypt');
DeleteService('gihgjsih');
DeleteService('gfbuplh');
DeleteService('fwxwqir');
DeleteService('fwpools');
DeleteService('fsjnntd');
DeleteService('folmc');
DeleteService('flcckab');
DeleteService('fbjsscq');
DeleteService('exhaswbj');
DeleteService('epexkh');
DeleteService('ehcjxqby');
DeleteService('eanruhwrf');
DeleteService('dzbsonbq');
DeleteService('dxaysizwz');
DeleteService('duisgofnw');
DeleteService('dqhhtkul');
DeleteService('dolteqtqw');
DeleteService('dluip');
DeleteService('dkqdi');
DeleteService('dfvtsyzx');
DeleteService('dczfp');
DeleteService('cqrigs');
DeleteService('cpnjobtlt');
DeleteService('cndrs');
DeleteService('bzimanlwm');
DeleteService('brrbxlcrx');
DeleteService('bjbif');
DeleteService('birwbdmcl');
DeleteService('bhypjp');
DeleteService('ampwb');
DeleteService('akigy');
DeleteService('ajriam');
DeleteService('ajhra');
DeleteService('adnzji');
DeleteFile('C:\WINDOWS\system32\05B.tmp');
DeleteFile('C:\WINDOWS\system32\08C.tmp');
DeleteFile('C:\WINDOWS\system32\06E.tmp');
DeleteFile('C:\WINDOWS\system32\059.tmp');
DeleteFile('C:\WINDOWS\system32\07E.tmp');
DeleteFile('C:\WINDOWS\system32\022.tmp');
DeleteFile('C:\WINDOWS\system32\07C.tmp');
DeleteFile('C:\WINDOWS\system32\031.tmp');
DeleteFile('C:\WINDOWS\system32\02D.tmp');
DeleteFile('C:\WINDOWS\system32\0A.tmp');
DeleteFile('C:\WINDOWS\system32\05A.tmp');
DeleteFile('C:\WINDOWS\system32\091.tmp');
DeleteFile('C:\WINDOWS\system32\043.tmp');
DeleteFile('C:\WINDOWS\system32\018.tmp');
DeleteFile('C:\WINDOWS\system32\07F.tmp');
DeleteFile('C:\WINDOWS\system32\054.tmp');
DeleteFile('C:\WINDOWS\system32\04E.tmp');
DeleteFile('C:\WINDOWS\system32\07A.tmp');
DeleteFile('C:\WINDOWS\system32\0F.tmp');
DeleteFile('C:\WINDOWS\system32\016.tmp');
DeleteFile('C:\WINDOWS\system32\0B.tmp');
DeleteFile('C:\WINDOWS\system32\058.tmp');
DeleteFile('C:\WINDOWS\system32\030.tmp');
DeleteFile('C:\WINDOWS\system32\0AF.tmp');
DeleteFile('C:\WINDOWS\system32\077.tmp');
DeleteFile('C:\WINDOWS\system32\056.tmp');
DeleteFile('C:\WINDOWS\system32\047.tmp');
DeleteFile('C:\WINDOWS\system32\08B.tmp');
DeleteFile('C:\WINDOWS\system32\068.tmp');
DeleteFile('C:\WINDOWS\system32\06F.tmp');
DeleteFile('C:\WINDOWS\system32\05.tmp');
DeleteFile('C:\WINDOWS\system32\082.tmp');
DeleteFile('C:\WINDOWS\system32\03C.tmp');
DeleteFile('C:\WINDOWS\system32\02B.tmp');
DeleteFile('C:\WINDOWS\system32\078.tmp');
DeleteFile('C:\WINDOWS\system32\04.tmp');
DeleteFile('C:\WINDOWS\system32\086.tmp');
DeleteFile('C:\WINDOWS\system32\09A.tmp');
DeleteFile('C:\WINDOWS\system32\029.tmp');
DeleteFile('C:\WINDOWS\system32\01A.tmp');
DeleteFile('C:\WINDOWS\system32\04D.tmp');
DeleteFile('C:\WINDOWS\system32\05C.tmp');
DeleteFile('C:\WINDOWS\system32\081.tmp');
DeleteFile('C:\WINDOWS\system32\08F.tmp');
DeleteFile('C:\WINDOWS\system32\040.tmp');
DeleteFile('C:\WINDOWS\system32\072.tmp');
DeleteFile('C:\WINDOWS\system32\089.tmp');
DeleteFile('C:\WINDOWS\system32\08D.tmp');
DeleteFile('C:\WINDOWS\system32\0AD.tmp');
DeleteFile('C:\WINDOWS\system32\02E.tmp');
DeleteFile('C:\WINDOWS\system32\028.tmp');
DeleteFile('C:\WINDOWS\system32\03D.tmp');
DeleteFile('C:\WINDOWS\system32\09D.tmp');
DeleteFile('C:\WINDOWS\system32\099.tmp');
DeleteFile('C:\WINDOWS\system32\03F.tmp');
DeleteFile('C:\WINDOWS\system32\06A.tmp');
DeleteFile('C:\WINDOWS\system32\084.tmp');
DeleteFile('C:\WINDOWS\system32\063.tmp');
DeleteFile('C:\WINDOWS\system32\046.tmp');
DeleteFile('C:\WINDOWS\system32\09.tmp');
DeleteFile('C:\WINDOWS\system32\039.tmp');
DeleteFile('C:\WINDOWS\system32\041.tmp');
DeleteFile('C:\WINDOWS\system32\034.tmp');
DeleteFile('C:\WINDOWS\system32\08.tmp');
DeleteFile('C:\WINDOWS\system32\01B.tmp');
DeleteFile('C:\WINDOWS\system32\027.tmp');
DeleteFile('C:\WINDOWS\system32\025.tmp');
DeleteFile('C:\WINDOWS\system32\03B.tmp');
DeleteFile('C:\WINDOWS\system32\08E.tmp');
DeleteFile('C:\WINDOWS\system32\021.tmp');
DeleteFile('C:\WINDOWS\system32\01D.tmp');
DeleteFile('C:\WINDOWS\system32\0D.tmp');
DeleteFile('C:\WINDOWS\system32\057.tmp');
DeleteFile('C:\WINDOWS\system32\06B.tmp');
DeleteFile('C:\WINDOWS\system32\079.tmp');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\013.tmp');
DeleteFile('C:\WINDOWS\system32\0C.tmp');
DeleteFile('C:\WINDOWS\system32\02F.tmp');
DeleteFile('C:\WINDOWS\system32\014.tmp');
DeleteFile('C:\WINDOWS\system32\012.tmp');
DeleteFile('C:\WINDOWS\system32\011.tmp');
DeleteFile('C:\WINDOWS\system32\080.tmp');
DeleteFile('C:\WINDOWS\system32\06.tmp');
DeleteFile('C:\WINDOWS\system32\06D.tmp');
DeleteFile('C:\WINDOWS\system32\076.tmp');
DeleteFile('C:\WINDOWS\system32\055.tmp');
DeleteFile('C:\WINDOWS\system32\0A1.tmp');
DeleteFile('C:\WINDOWS\system32\010.tmp');
DeleteFile('C:\WINDOWS\system32\032.tmp');
DeleteFile('C:\WINDOWS\system32\074.tmp');
DeleteFile('C:\WINDOWS\system32\0A3.tmp');
DeleteFile('C:\WINDOWS\system32\09B.tmp');
DeleteFile('C:\WINDOWS\system32\033.tmp');
DeleteFile('C:\WINDOWS\system32\096.tmp');
DeleteFile('C:\WINDOWS\system32\04C.tmp');
DeleteFile('C:\WINDOWS\system32\051.tmp');
DeleteFile('C:\WINDOWS\system32\049.tmp');
DeleteFile('C:\WINDOWS\system32\06C.tmp');
DeleteFile('C:\WINDOWS\system32\023.tmp');
DeleteFile('C:\WINDOWS\system32\045.tmp');
DeleteFile('C:\WINDOWS\system32\036.tmp');
DeleteFile('C:\WINDOWS\system32\05F.tmp');
DeleteFile('C:\WINDOWS\system32\01C.tmp');
DeleteFile('C:\WINDOWS\system32\035.tmp');
DeleteFile('C:\WINDOWS\system32\092.tmp');
DeleteFile('C:\WINDOWS\system32\02A.tmp');
DeleteFile('C:\WINDOWS\system32\02C.tmp');
DeleteFile('C:\WINDOWS\system32\075.tmp');
DeleteFile('C:\WINDOWS\system32\024.tmp');
DeleteFile('C:\WINDOWS\system32\0A7.tmp');
DeleteFile('C:\WINDOWS\system32\083.tmp');
DeleteFile('C:\WINDOWS\system32\04F.tmp');
DeleteFile('C:\WINDOWS\system32\020.tmp');
DeleteFile('C:\WINDOWS\system32\042.tmp');
DeleteFile('C:\WINDOWS\system32\073.tmp');
DeleteFile('C:\WINDOWS\system32\017.tmp');
DeleteFile('C:\WINDOWS\system32\0A4.tmp');
DeleteFile('C:\WINDOWS\system32\053.tmp');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\WINDOWS\system32\01F.tmp');
DeleteFile('C:\WINDOWS\system32\066.tmp');
DeleteFile('C:\WINDOWS\system32\08A.tmp');
DeleteFile('C:\WINDOWS\system32\03E.tmp');
DeleteFile('C:\WINDOWS\system32\0E.tmp');
DeleteFile('C:\WINDOWS\system32\03A.tmp');
DeleteFile('C:\WINDOWS\system32\0B0.tmp');
DeleteFile('C:\WINDOWS\system32\019.tmp');
DeleteFile('C:\WINDOWS\system32\04B.tmp');
DeleteFile('C:\WINDOWS\system32\03.tmp');
DeleteFile('C:\WINDOWS\system32\04A.tmp');
DeleteFile('C:\WINDOWS\system32\064.tmp');
DeleteFile('C:\WINDOWS\system32\052.tmp');
DeleteFile('C:\WINDOWS\system32\015.tmp');
DeleteFile('C:\WINDOWS\system32\067.tmp');
DeleteFile('C:\WINDOWS\system32\07.tmp');
DeleteFile('C:\WINDOWS\system32\048.tmp');
DeleteFile('C:\WINDOWS\system32\037.tmp');
DeleteFile('C:\WINDOWS\system32\038.tmp');
DeleteFile('C:\WINDOWS\system32\071.tmp');
DeleteFile('C:\WINDOWS\system32\069.tmp');
DeleteFile('C:\WINDOWS\system32\044.tmp');
DeleteFile('C:\WINDOWS\system32\01E.tmp');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-