win32/Injector.APM и win32/Delf.OXF
Появляется сообщение от НОД32: Adress has been blocked. URL adress: "zonetech.info/...(далее разные *.ехе)
Так же появляется виндовское окошко "16-разрядная подсистема MS-DOS"
с текстом: C:\WINDOWS\Sysrem32\(далее разные *.ехе)
Процессор NTVDM обнаружил недопустимую инструкцию ссылка идет на 88.exe.
В карантине нода лежат win32/Injector.APM trojan и win32/Delf.OXF trojan
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\RECYCLER\S-1-5-21-5713428312-5133147423-165385579-4749\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2925600518-7103559974-661904758-0370\msdrive.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-2925600518-7103559974-661904758-0370\msdrive.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5713428312-5133147423-165385579-4749\wmfcgr.exe'); DeleteFile('C:\DOCUME~1\FC45~1\LOCALS~1\Temp\MVA74E6.tmp'); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); {разблокировка диспетчера задач} ExecuteRepair(16); {восстановление ключа запуска explorer} SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Спасибо за помощь. Выполнил скрипт, комп перезагрузился, очистил мусор с помощью AVZ. Отключил инет , выполнил скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", включил инет , выполнил "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" и HijackThis.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4TCDU1UJ\61[1].exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\53.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Что с проблемами?
I am not young enough to know everything...
Спасибо за помощь.
NOD32 продолжает оповещать о попытках подключения к URL, так же продолжает появляться окошко о ошибке 16-ти разрядного...., в папке c:\windows\system32 находятся файлы 55.exe, 17.exe ... и тд.
к сожалению ничего не изменилось...
могу приложить лог последних событий НОД32 если нужно
В логах ничего подозрительного.
Установите все обновления безопасности вышедшие после SP3.
Обновите базы антивируса и сделайте полную проверку в безопасном режиме.
I am not young enough to know everything...
еще раз просканил систему в безопастном режиме, в нем ничего не палится, сообщения нода появляются только когда подключен инет.
Если долого подключен инет появляется сообщение об ошибке generic host win32 services , и инет пропадает (невозможно проверить состояние ВПН-соедининия с провайдером, оно не отключается) , так же заметил что в настройки локалки верные в а маршрутизации комп выступает собственным шлюзом.
ваобще проблема полностью похожа на http://virusinfo.info/showthread.php?t=66988
ах да еще при загрузке оси начала появляться сообщение о что что найдено новое устройство (драйвера ни ч чего не слетали так что это чтото новое)
Последний раз редактировалось g0ha; 12.01.2010 в 21:36.
Устанавливайте обновления безопасности на систему.
ось не проходит проверку на узле винапдейт , даже не знаю как такое могло произойти
есть еще идеи ?
Если ось лицензионная - Вам в поддержку Microsoft, если нет - Google в помощь. Вопросы обхода защиты здесь не обсуждаются.
ну значит проблема решена , найду как обновиться
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\4tcdu1uj\61[1].exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\36.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
- c:\windows\system32\53.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
Уважаемый(ая) g0ha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
