-
Junior Member
- Вес репутации
- 53
win32/Injector.APM и win32/Delf.OXF
Появляется сообщение от НОД32: Adress has been blocked. URL adress: "zonetech.info/...(далее разные *.ехе)
Так же появляется виндовское окошко "16-разрядная подсистема MS-DOS"
с текстом: C:\WINDOWS\Sysrem32\(далее разные *.ехе)
Процессор NTVDM обнаружил недопустимую инструкцию ссылка идет на 88.exe.
В карантине нода лежат win32/Injector.APM trojan и win32/Delf.OXF trojan
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\RECYCLER\S-1-5-21-5713428312-5133147423-165385579-4749\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2925600518-7103559974-661904758-0370\msdrive.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2925600518-7103559974-661904758-0370\msdrive.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5713428312-5133147423-165385579-4749\wmfcgr.exe');
DeleteFile('C:\DOCUME~1\FC45~1\LOCALS~1\Temp\MVA74E6.tmp');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(16); {восстановление ключа запуска explorer}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь. Выполнил скрипт, комп перезагрузился, очистил мусор с помощью AVZ. Отключил инет , выполнил скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", включил инет , выполнил "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" и HijackThis.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4TCDU1UJ\61[1].exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Что с проблемами?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь.
NOD32 продолжает оповещать о попытках подключения к URL, так же продолжает появляться окошко о ошибке 16-ти разрядного...., в папке c:\windows\system32 находятся файлы 55.exe, 17.exe ... и тд.
к сожалению ничего не изменилось...
могу приложить лог последних событий НОД32 если нужно
-
В логах ничего подозрительного.
Установите все обновления безопасности вышедшие после SP3.
Обновите базы антивируса и сделайте полную проверку в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
еще раз просканил систему в безопастном режиме, в нем ничего не палится, сообщения нода появляются только когда подключен инет.
Если долого подключен инет появляется сообщение об ошибке generic host win32 services , и инет пропадает (невозможно проверить состояние ВПН-соедининия с провайдером, оно не отключается) , так же заметил что в настройки локалки верные в а маршрутизации комп выступает собственным шлюзом.
ваобще проблема полностью похожа на http://virusinfo.info/showthread.php?t=66988
ах да еще при загрузке оси начала появляться сообщение о что что найдено новое устройство (драйвера ни ч чего не слетали так что это чтото новое)
Последний раз редактировалось g0ha; 12.01.2010 в 21:36.
-
Устанавливайте обновления безопасности на систему.
-
-
Junior Member
- Вес репутации
- 53
ось не проходит проверку на узле винапдейт , даже не знаю как такое могло произойти
есть еще идеи ?
-
Если ось лицензионная - Вам в поддержку Microsoft, если нет - Google в помощь. Вопросы обхода защиты здесь не обсуждаются.
-
-
Junior Member
- Вес репутации
- 53
ну значит проблема решена , найду как обновиться
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\4tcdu1uj\61[1].exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\36.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\53.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
-