-
Junior Member
- Вес репутации
- 55
Подозрение на Spy.WindTangent при сканировании AVZ
Добрый вечер.
Сеть временами начинала сильно тормозить (очень медленная загрузка страниц).
Плюс перестали нормально удаляться файлы с диска С: после того, как компьютер некоторое время поработает после перезагрузки. Доступ к файлам был нормальный, но при удалении даже из-под учетной записи Администратора появлялось сообщение Access Denied. Сразу после перезагрузки файлы нормально удалялись.
Сканирование с лечением, проведенное AVPTool выявило:
пару рекламных модулей, а также Kido в корзине на флешке, подключенной к компьютеру.
Собственно вирус и рекламные программы были удалены с помощью AVPTool.
Но последующее сканирование AVZ обнаружило подозрение на Spy.WindTangent.
Прошу помочь, разобраться, не ложная ли это тревога. И как бороться в случае, если действительно обнаружен еще один зловред.
Большое спасибо.
P.S. В логе AVZ еще есть подозрение на "Trojan-Downloader.Win32.VB.aid" в файле "RmtAgentFix.exe". Это на 99% ложная тревога. Данная программа используется для автотестирования, в.т.ч windows-приложений. И она иногда взаимодействует с интерфейсом через различные недокументированные фичи системы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
O20 - Winlogon Notify: AutorunsDisabled - Invalid registry found
O20 - Winlogon Notify: fade - C:\WINDOWS\system32\Zrugr32jk.dll (file missing)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
DelBHO('AutorunsDisabled');
QuarantineFile('C:\Program Files\Mercury Interactive\QuickTest Professional\bin\RmtAgentFix.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Rene-gad
Здравствуйте,
После перезагрузки:
-
Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
После перезагрузки новых устройств не появлялось.
Логи новые собрал.
Почему-то после лечения опять стал доступен автозапуск со всех носителей, хотя до этого автозапуск был запрещен в соответствии с рекомендациями с этого форума.
-
Junior Member
- Вес репутации
- 55
Скажите, пожалуйста, получили ли Вы мои файлы?
Попытался сейчас повторно добавить карантин, но система написала, что такой файл уже есть.
Мне все еще нужна помощь, поскольку проблема с невозможностью удалить файлы без перезагрузки до сих пор актуальна.
Очень надеюсь на Вашу поддержку.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-