-
Junior Member
- Вес репутации
- 52
Internet Security попрошайка
Появилась панель блокирующая экран и запуск антивирусных программ. Загрузка с лайв сиди позволила удалить часть вредителей. Остальные почистил AVZ.Логи прикрепил. Прошу дать рекомендации по восстановлению, перед самым новым годом цеплял аналогично на эту же машину DownloadMaster. Может есть какие то профилактические способы?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe bfwl.pgo jagktms
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('35A6E2B1-27A9-47D2-913C-559E1EF1D034');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
DeleteFilemask('C:\Program Files\Common Files\Target Marketing Agency','*.*',true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
Executerepair(11);
Executerepair(17);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Последний раз редактировалось Шапельский Александр; 26.01.2010 в 16:37.
Причина: ''
-
-
Junior Member
- Вес репутации
- 52
Спасибо все выполнить не удалось. После перезагрузки сработал макафи и удалил троян. Строка из лога:"26.01.2010 9:00:18 Deleted HOME\Лена avz.exe C:\WINDOWS\system32\drivers\vde4mtyw.sys Generic.dx (Trojan)"
Скрипт тоже не хотел запускаться ругался на синтаксическую ошибку в строке 9:73, чуть чуть подправил скрипт, он выполнился.
При попытке отправить карантин, папка оказалась пустая.
Сейчас запустил AVZ. Как только пройдут логи пришлю файлы.
Спасибо за помощь.
-
Junior Member
- Вес репутации
- 52
Выполнил пункты 1-3, в ходе выполнения пункта 1 AVZ, опять нашел одного вредоноса. Загрузил файлы из карантина. Прикрепил логи
-
Junior Member
- Вес репутации
- 52
Запустил Касперского Virus Removal Tool 2010, к тому что лежит в карантине он нашел еще кучку:"Автоматическая проверка: выполняется (событий: 21, объектов: 75834, время: 00:27:03)
26.01.2010 13:02:04 Задача запущена
26.01.2010 13:03:04 Обнаружено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00001.dta
26.01.2010 13:03:04 Не вылечено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00001.dta Отложено
26.01.2010 13:03:05 Обнаружено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00002.dta
26.01.2010 13:03:05 Не вылечено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00002.dta Отложено
26.01.2010 13:03:06 Обнаружено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00003.dta
26.01.2010 13:03:06 Не вылечено: Trojan.Win32.Agent.deym C:\23\avz4\Infected\2010-01-25\avz00003.dta Отложено
26.01.2010 13:25:17 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\dlyguc.dll
26.01.2010 13:25:17 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\dlyguc.dll Отложено
26.01.2010 13:25:18 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\hjlvyc.dll
26.01.2010 13:25:18 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\hjlvyc.dll Отложено
26.01.2010 13:25:30 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\qlbpmj.dll
26.01.2010 13:25:30 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\qlbpmj.dll Отложено
26.01.2010 13:25:30 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\rqwfys.dll
26.01.2010 13:25:30 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\rqwfys.dll Отложено
26.01.2010 13:25:30 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\reknus.dll
26.01.2010 13:25:30 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\reknus.dll Отложено
26.01.2010 13:25:33 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\txrnwi.dll
26.01.2010 13:25:33 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\txrnwi.dll Отложено
26.01.2010 13:25:33 Обнаружено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\ywncdo.dll
26.01.2010 13:25:33 Не вылечено: Packed.Win32.Krap.w C:\Documents and Settings\Костя\Local Settings\Temp\ywncdo.dll Отложено "
Пока продолжает искать.
-
Junior Member
- Вес репутации
- 52
Дождался окончания проверки Касперским, хоть вы и не просили на всякий случай приложил лог работы касперского.
По уязвимостям понятно, сейчас буду патчить.
Просветите темного по остальному.
-
Сделайте комплект логов, надо проверить, может что осталось. Сделайте еще и лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
Вроде больше вредителей не находит. МВАМ ругается на кучу всего. Жду ваших ЦУ.
-
Вы выложили старый лог Hijack
Scan saved at 23:12:10, on 25.01.2010
Сделайте новый.
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\steadway.ffvalidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ffvalidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{01690012-9fbf-4422-b830-bc1eee946333} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{03c39a03-bdb6-4539-9a35-b8513576a8b4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0a3c7fd8-4a49-4e13-8f2b-d406c2b28667} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{10bde295-fafd-4863-90bf-b9890bde7077} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{128304dd-33b4-4f05-87da-df5e4938a82f} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1b55f2e0-7c78-4cfd-ac87-e3728d2b14f9} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1f0fa04a-0f04-4816-9be4-879394959f58} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2023b80e-f876-4a78-bd4c-e6a2c7409380} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{35ad961f-f78d-4ef3-a72c-6ed6f0cf6a05} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{377f63dc-5663-4237-b9ac-4f0376ce92da} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{37a13acb-e3f4-4884-b4e9-3cf666692bb0} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3885f585-7ae7-4f51-909c-6d4c15d2d7f9} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3b80c849-1aeb-4553-9b37-a836aca92261} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3e069fee-b94a-45d8-bf98-601470907e9e} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4483dae8-fefe-4a47-a2eb-d731e97a6f7d} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4521f436-558c-4f50-a2c1-055e73303931} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{472683bd-3ac3-4838-a12c-a28605d49874} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4c541bc9-7f2e-4d62-b396-6103116160e1} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{54f837ad-296f-4712-b918-d43335065ad0} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{55ab60a6-9115-4d30-8d61-284c2f2c9a26} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5c3df6a7-f37f-44ec-b281-ca2d6d44d571} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5e62facd-c790-4469-bd18-9e7bc55e6bac} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{619b2395-64e3-420c-a042-2f5f58dbe978} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6549d8ac-47c7-46f8-875a-a90cee9d56d3} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6aa0c658-5ee1-40cb-acc5-38c26aad4338} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6ff56a16-e7f4-48d6-bbb5-496f4c73eddc} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7c0972b6-be67-48ae-9c47-5c8a1f49c23f} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7fc23e0d-13c2-4a69-9d1e-cc10e18e430e} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7fddc940-7f5f-432e-be39-4446da142d50} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{81fea687-c096-461c-92aa-46a36d2c62de} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{82fe73c6-54b5-429d-91f0-0e596f7d2d31} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{86112591-8606-4331-8072-0f314f2155bc} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8908dcdc-4f2c-48f5-bd83-c36fd90225a0} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8e868b66-d540-4f46-9fb2-69e4c060a999} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{955d008b-ff96-4f89-bc62-1e2881955169} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{96c70546-dec9-4ca0-aab0-d940b24d1910} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{976e7209-cea6-48b6-9bc5-a31f6d037028} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9a831198-a605-48b4-844d-13a009a9ea1c} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9c290ef4-303e-4837-b30a-ed4cb0dc5219} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ae54f9eb-3744-4c97-b38b-fe5f866479fc} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b2c71b91-7ca7-4fd2-9138-8041178aab11} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b3441f24-2612-450d-b87f-5a220663b0d8} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bbf66ae7-e6bb-4b8e-accb-12862b6a5d0b} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bca82348-c45b-4196-90ff-d0edd7d3357d} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c9848473-0fe9-41f8-9380-9fd424d65c92} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d3a50e7c-4c24-4466-9f4e-841dd756f186} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{dce84820-41f1-46c3-b6cc-353c5cd146a9} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e0cd2020-cfaf-4f6a-b461-fcbb21094b5e} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e23aa269-f610-47c1-b5f2-038dba096441} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4a2c5d9-f682-461d-bd38-b4a65e835604} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e57abe81-f539-48ac-a77d-4c25c304cac3} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e5cc1b55-7bdb-4be6-b3f2-6de6ea73eb33} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e6a1cd76-54d6-4534-8eab-9febe3e19e8f} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{eb953b20-9f91-4a11-b325-ee5d7079f68d} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ef9e7d52-7625-4a4b-af85-eb7b494bff0c} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f4b80c8d-77d0-4f05-bc55-d47b62407e91} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f4f2d962-cb6f-4e41-8103-4c2d17ea97ad} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f57c31c9-2b3b-4649-a975-bbc0d975e0f1} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f81a895f-3184-416a-8fa0-d26818d1ad0f} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fc1f2577-977b-4b32-b42d-e1ff7a579ced} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{10a2afe5-a6c3-46a9-a3e9-dfbe934afcbb} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{17249f79-bbd0-470a-9bc5-8cfd2d5046d0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2a3f6f50-9a92-4553-9016-729d1e1a00ab} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{351371a7-c5cf-472b-8ea3-b1c6414e25ed} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54e20e87-e6a4-4b47-a996-653752829354} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{550da458-33b1-4150-afb7-59e9728386e3} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{55a577b1-ad9f-4530-ad1e-463b2c4cd162} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5e1b5a0f-cf08-4195-ab70-209572915923} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7023de86-faf5-4e26-94ac-c32c740270b0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84185ea0-0b56-407f-bbc9-3d1f12fe6eab} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84ee0b6f-c917-4552-87b9-26f5fa772a79} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9cdfe9f3-4d2b-4771-b6c2-c7569226939b} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bcfb7668-312a-4149-83ac-4e7fe71ca44c} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c06ce8fc-50d9-414a-a318-c90e2fcdbeb6} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cc29517f-d259-4ab6-912a-99678740fd00} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{7f6edb84-901b-4309-a2f6-0058f38c4cc4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a1c7a1e6-6a3c-4d6f-a376-81c4bea13a62} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayreport (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayreport.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TMAgent (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\drivers\06357322.sys (Rootkit.Agent.H) -> No action taken.
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Илья\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Костя\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Лена\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
Надо проверить один файл, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\o2cplayer_1248689822.bak','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 52
карантин закачал.
прикладываю логи MBAM и Hijack
-
В логах чисто, дождемся вердикта аналитиков по этому файлу o2cplayer_1248689822.bak
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
-
Сообщение от
mastt
Аналитики молчат?
Молчат
-
-
Junior Member
- Вес репутации
- 52
Вроде все работает. Если не трудно подскажите где можно почитать о способе заражения этими троянами, я имею в виду смс вымогатели. Просто дома две машины, и одна в порядке а на второй уже второй смс попрошайка, а перед этим был какой то спам ботик. Есть подозрения на торренты. Но это прекдположительно. Еще раз спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\лена\local settings\temp\1b.tmp - Trojan.Win32.Agent.deym ( DrWEB: Trojan.Siggen.40460, BitDefender: Trojan.Generic.2941437, NOD32: Win32/Oficla.CI trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\bfwl.bak - Trojan.Win32.Agent.deym ( DrWEB: Trojan.Siggen.40460, BitDefender: Trojan.Generic.2941437, NOD32: Win32/Oficla.CI trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\bfwl.pgo - Trojan.Win32.Agent.deym ( DrWEB: Trojan.Siggen.40460, BitDefender: Trojan.Generic.2941437, NOD32: Win32/Oficla.CI trojan, AVAST4: Win32:Trojan-gen )
-